Pwn2Own 2021: Zweite digitale Ausgabe des Hacker-Wettbewerbs in vollem Gange
Dieses Jahr können Interessierte im Livestream mitverfolgen, wie Teilnehmer Betriebssysteme und Software über frisch entdeckte Schwachstellen aufs Korn nehmen.
(Bild: Pwn2Own 2021 (Screenshot))
Bis einschließlich 2019 wurde der Pwn2Own-Hackerwettbewerb jeweils im Frühjahr auf der CanSecWest-Konferenz in Vancouver ausgetragen, aufgrund der Coronavirus-Pandemie aber bereits im vergangenen Jahr ins World Wide Web verlegt. Der derzeit abermals online stattfindende Pwn2Own 2021 bringt eine weitere, durchaus erfreuliche Premiere mit sich: "If you’ve ever wanted to watch Pwn2Own but couldn’t get to Vancouver, you’re in luck!", schreibt Trend Micros Zero Day Initiative (ZDI) in einem Blogeintrag – und meint damit die Möglichkeit, das Event bequem im Livestream zu verfolgen.
Der am gestrigen Dienstag gestartete Wettbewerb läuft noch bis einschließlich morgen und wird auf der Pwn2Own-Website, auf YouTube und Twitch aus Austin, Texas gestreamt. Das vollständige "Programm", also die Reihenfolge nebst voraussichtlicher Uhrzeit der insgesamt 23 Hacking-Versuche, findet man im ZDI-Blogeintrag zum Pwn2Own-Wettbewerb 2021. Achtung: Die Uhrzeiten sind in UTC-4 angegeben, so dass man jeweils sechs Stunden aufrechnen muss. Am heutigen Mittwoch hat das Event gemäß unserer Zeitzone um 15 Uhr begonnen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Tag 1: Exchange Server- und Teams-Lücken
Am ersten Wettbewerbstag traten insgesamt sieben Teams oder Einzelpersonen an und räumten Prämien von insgesamt 570.000 US-Dollar ab. Zwei Exploit-Versuche, beide aus der Kategorie "Virtualization" (Parallels Desktop und Oracle VirtualBox) schlugen fehl; die übrigen gelangen.
Die höchsten Geldsummen, je 200.000 US-Dollar, wurden an zwei Forscher-Teams ausgezahlt, die erfolgreich Microsoft-Produkte attackierten: Dem Team des Unternehmens Devcore gelang es, einen Exchange-Server zu übernehmen, indem es zunächst erfolgreich Authentifizierungsmechanismen umging (authentication bypass) und dann seine Rechte ausweitete (local privilege escalation).
Dies ist nicht Devcores erster Lückenfund in Exchange Server: Das Team hatte im Dezember 2020 die als ProxyLogon bezeichnete Schwachstelle CVE-2021-26855 entdeckt – eine der Exchange-Lücken, die erst kürzlich im großen Stil ausgenutzt und von Microsoft Anfang März außer der Reihe gepatcht wurden.
Der gestrige Microsoft-Hack Nummer 2 gelang einem Forscher mit dem Pseudonym "OV": Er kombinierte Bugs, um im Kontext von Microsoft Teams Code auszuführen. Weitere Ziele erfolgreicher Angriffe waren Apples Safari-Browser – über Umwege gelang hier die Codeausführung auf Kernel-Ebene –, Windows 10 (local privilege escalation) und Ubuntu Desktop (ebenfalls local privilege escalation).
(ovw)
