Pwn2Own 2016: Hacker-Wettbewerb zahlt 460.000 US-Dollar aus

Sicherheitsforscher haben 21 Zero-Day-LĂĽcken in OS X, Windows und verschiedenen Webbrowsern gefunden. Einmalig in der Geschichte des Pwn2Own-Wettstreits: Alle erfolgreichen Attacken statteten die Angreifer mit System-Rechten aus.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Pwn2Own 2016

Kryptologen machen sich beim Pwn2Own-Wettbewerb ĂĽber Flash & Co. her.

(Bild: Screenshot)

Lesezeit: 2 Min.

Beim diesjährigen Pwn2Own-Wettbewerb entdeckten Kryptologen innerhalb von zwei Tagen insgesamt 21 neue Sicherheitslücken in Chrome, Edge, Flash, OS X, Safari und Windows. Dafür wurde insgesamt eine Prämie von 460.000 US-Dollar ausgeschüttet. Hinter der Veranstaltung stecken Hewlett Packard Enterprise (HPE), Trend Micro und die Zero Day Initiative (ZDI).

Den Wettstreit gibt es seit 2007. Die Teilnehmer müssen beim Pwn2Own unbekannte Schwachstellen in Windows & Co. finden und erfolgreich ausnutzen. Klappt das, bekommen sie das gehackte Gerät und eine Geldprämie als Belohnung.

Infos zu den Lücken werden direkt an die Hersteller weitergegeben, damit diese zeitnah Sicherheits-Patches anbieten können. Bis dahin schützen etwa die Intrusion Prevention Systeme von HP, die der Veranstalter bereits mit passenden Signaturen zum Aufspüren und Blockieren der Exploits versieht.

Beim Pwn2Own gab es 2016 erstmals einen Gewinner des Wettbewerbs. DafĂĽr wurden Master of Pwn-Punkte vergeben. Diese setzen sich aus der betroffenen Anwendung und dem Schweregrad der LĂĽcke zusammen. Mit 38 Punkten findet sich das Tencent Security Team Sniper an der Spitze.

Die SicherheitslĂĽcken-Statistik in diesem Jahr liest sich wie folgt:

  • Chrome: eine LĂĽcke (war schon vorab bekannt)
  • Edge: zwei LĂĽcken
  • Flash: vier LĂĽcken
  • OS X: fĂĽnf LĂĽcken
  • Safari: drei LĂĽcken
  • Windows: sechs LĂĽcken

Firefox war dieses Jahr nicht mit von der Partie. Denn die Sicherheitsmechanismen des Webbrowsers wurden im Vergleich zum Vorjahr nicht verbessert, erläutert Brian Gorenc, Manager Vulnerability Research HPE.

Die höchste Einzelprämie von 85.000 US-Dollar strich der Hacker JungHoon Lee (lokihardt) mit seinem Exploit für den Webbrowser Edge ein. Dabei machte er sich eine nicht initialisierte Stack-Variable in Edge in Kombination mit einer Directory-Traversal-Anfälligkeit in Windows zunutze, um sich System-Rechte zu erschleichen. Dieses Jahr führten alle Exploits dazu, dass Hacker System-Rechte erhielten; das gab es bisher noch nicht. (des)