Pwn2Own: Hacking-Wettbewerb zum ersten Mal virtuell

von Trend Micro

Der Pwn2Own 2020 Hacking-Wettbewerb, der vom ZDI organisiert wird, fand zum ersten Mal vollständig virtuell statt, wie auch die CanSecWest, im Rahmen derer normalerweise Pwn2Own ausgetragen wird. Sieben Teams traten in den zwei Tagen an, um verschiedene Zero-Day-Schwachstellen in Windows, macOS, Linux und in der VirtualBox von Oracle zu überwinden. Alle Versuche bis auf einen waren erfolgreich und brachten insgesamt 13 Bugs zum Vorschein. Die Gewinner des Vorjahres, das Team Fluoroacetate, waren auch die Sieger des aktuellen Wettbewerbs und verteidigten ihren Titel als Master of Pwn. Insgesamt wurden 270.000 $ an Preisgeldern verteilt.

Endergebnisse des Pwn2Own-Wettbewerbs

Das Team Fluoroacetate um Amat Cama und Richard Zhu schaffte es gleich zweimal: am ersten Tag mit der erfolgreichen Ausnutzung einer UAF (Use after Free)-Schwachstelle in Windows, über die es gelang, das System zu übernehmen und am nächsten Tag mit dem Hacking des Adobe Readers und der nachfolgenden Übernahme des gesamten Systems. Sie erhielten insgesamt 90.000 $ Preisgeld und wurden mit neun Punkten Master of Pwn.

Den zweiten Platz mit sieben Punkten und 70.000 $ Preisgeld konnten sich die Newcomer vom Georgia Tech Systems Software & Security Lab (@SSLab_Gatech) sichern. Ihnen gelang ein Angriff auf Apple Safari über eine Eskalation von Privilegien für den macOS-Kernel.

Tag 1: Ergebnisse

Tag 2: Ergebnisse

Es gab nur einen einzigen Misserfolg im Wettbewerb, als es misslang, in der vorgeschriebenen Zeit einen Ausbruchsversuch (Guest to Host Escape) aus einer VMware Workstation vorzuführen.

Die ZDI bedankte sich bei allen Teilnehmern für deren Vertrauen ins ZDI-Team bei der Ausführung ihrer Hacking-Versuche ebenso wie bei „Microsoft, VMware, Apple, Adobe und Canonical für Beteiligung und koordinierten Prozesse bei der Offenlegung und Response“. Die Bugs und Exploits wurden wie üblich den jeweiligen Unternehmen mitgeteilt.

Alle Einzelheiten über den Pwn2Own finden Interessierte bei der ZDI.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.