Verschlüsselung & Datensicherheit

Pwn2Own 2021: Zweite digitale Ausgabe des Hacker-Wettbewerbs in vollem Gange

Dieses Jahr können Interessierte im Livestream mitverfolgen, wie Teilnehmer Betriebssysteme und Software über frisch entdeckte Schwachstellen aufs Korn nehmen

Bis einschließlich 2019 wurde der Pwn2Own-Hackerwettbewerb jeweils im Frühjahr auf der CanSecWest-Konferenz in Vancouver ausgetragen, aufgrund der Coronavirus-Pandemie aber bereits im vergangenen Jahr ins World Wide Web verlegt. Der derzeit abermals online stattfindende Pwn2Own 2021 bringt eine weitere, durchaus erfreuliche Premiere mit sich: "If you’ve ever wanted to watch Pwn2Own but couldn’t get to Vancouver, you’re in luck!", schreibt Trend Micros Zero Day Initiative (ZDI) in einem Blogeintrag – und meint damit die Möglichkeit, das Event bequem im Livestream zu verfolgen.

Der am gestrigen Dienstag gestartete Wettbewerb läuft noch bis einschließlich morgen und wird auf der Pwn2Own-Website, auf YouTube und Twitch aus Austin, Texas gestreamt. Das vollständige "Programm", also die Reihenfolge nebst voraussichtlicher Uhrzeit der insgesamt 23 Hacking-Versuche, findet man im ZDI-Blogeintrag zum Pwn2Own-Wettbewerb 2021. Achtung: Die Uhrzeiten sind in UTC-4 angegeben, so dass man jeweils sechs Stunden aufrechnen muss. Am heutigen Mittwoch hat das Event gemäß unserer Zeitzone um 15 Uhr begonnen.

Tag 1: Exchange Server- und Teams-Lücken

Am ersten Wettbewerbstag traten insgesamt sieben Teams oder Einzelpersonen an und räumten Prämien von insgesamt 570.000 US-Dollar ab. Zwei Exploit-Versuche, beide aus der Kategorie "Virtualization" (Parallels Desktop und Oracle VirtualBox) schlugen fehl; die übrigen gelangen.

Die höchsten Geldsummen, je 200.000 US-Dollar, wurden an zwei Forscher-Teams ausgezahlt, die erfolgreich Microsoft-Produkte attackierten: Dem Team des Unternehmens Devcore gelang es, einen Exchange-Server zu übernehmen, indem es zunächst erfolgreich Authentifizierungsmechanismen umging (authentication bypass) und dann seine Rechte ausweitete (local privilege escalation).

Dies ist nicht Devcores erster Lückenfund in Exchange Server: Das Team hatte im Dezember 2020 die als ProxyLogon bezeichnete Schwachstelle CVE-2021-26855 entdeckt – eine der Exchange-Lücken, die erst kürzlich im großen Stil ausgenutzt und von Microsoft Anfang März außer der Reihe gepatcht wurden.

Der gestrige Microsoft-Hack Nummer 2 gelang einem Forscher mit dem Pseudonym "OV": Er kombinierte Bugs, um im Kontext von Microsoft Teams Code auszuführen. Weitere Ziele erfolgreicher Angriffe waren Apples Safari-Browser – über Umwege gelang hier die Codeausführung auf Kernel-Ebene –, Windows 10 (local privilege escalation) und Ubuntu Desktop (ebenfalls local privilege escalation).

 

Quelle: heise Online Redaktion

Zurück

Diesen Beitrag teilen
oben