Hacker-Wettbewerb Pwn2Own: Firefox, Edge und Safari fallen um wie die Fliegen
Dieses Jahr haben die Pwn2Own-Veranstalter ein Preisgeld von zwei Millionen US-Dollar ausgerufen. Trotz einiger Hack-Erfolge blieb ein Großteil der Prämie jedoch im Topf.
Der Sicherheitsforscher Richard Zhu (rechts im Bild) gewann dieses Jahr den Wettbewerb.
(Bild: Zero Day Initiative Trend Micro)
An zwei Tagen haben sich Hacker aus vielen Teilen der Welt über verschiedene Anwendungen, Browser, virtuelle Maschinen und Windows hergemacht und einige Erfolge erzielt. Auf dem jährlich stattfindenden Wettbewerb Pwn2Own nutzen Hacker für den guten Zweck Zero-Day-Sicherheitslücken unter Zeitdruck aus. Klappt das, streichen die Teilnehmer Prämien ein. Die Entwickler der geknackten Software haben dann 90 Tage Zeit, die Lücken zu schließen.
Dieses Jahr war der Topf mit zwei Millionen US-Dollar prall gefüllt. Der Veranstalter Trend Micro schüttete aber "nur" 267.000 US-Dollar aus. Das könnte unter anderem dran liegen, dass die chinesische Regierung Sicherheitsforschern aus dem eigenen Land seit Neuestem die Teilnahme an Hacking-Wettbewerben verbietet. In der Vergangenheit haben chinesische Sicherheitsforscher den Wettbewerb oft dominiert.
Hack in letzter Sekunde
Gewonnen hat dieses Jahr mit Abstand der Sicherheitsforscher Richard Zhu. Er hat Microsofts Edge und Mozillas Firefox erfolgreich attackiert und übernommen. Für die Firefox-Attacke hat Zhu zwei Speicherfehler miteinander kombiniert. Zuerst hat er einen out-of-bounds-Fehler im Webbrowser provoziert und anschließend löste er einen Speicherfehler (integer overflow) im Windows-Kernel aus. Anschließend lag ihm Firefox zu Füßen. Diese anspruchsvolle Kombination brachte ihm 50.000 US-Dollar ein.
Edge fiel Zhu äußerst knapp zum Opfer: Erst im dritten und letzten Versuch konnte er sich erfolgreich höhere Rechte erschleichen und den Webbrowser 37 Sekunden vor Ablauf der Uhr brechen. An Safari biss er sich jedoch die Zähne aus. Hier war sein Konkurrent Samuel Groß erfolgreich. Insgesamt hat Zhu 120.000 US-Dollar eingestrichen. Klappt ein Hack, kann der Teilnehmer das gehackte Gerät behalten. Der Hauptgewinner darf sich zudem mit der Master-of-Pwn-Jacke schmücken.
Insgesamt nutzten die diesjährigen Pwn2Own-Hacker fünf Apple-Bugs, vier Microsoft-Lücken, zwei Oracle-Schwachstellen und einen Mozilla-Bug erfolgreich aus. Mit 250.000 US-Dollar war das höchste Preisgeld für einen Ausbruch aus der Sandbox von Microsofts Virtualisierungslösung Hyper-V ausgeschrieben. Das hat dieses Jahr jedoch nicht geklappt.
Für ihre Hacks haben die Teilnehmern drei Versuche und 30 Minuten Zeit. Der Veranstalter gibt an, auch Prämien zu zahlen, wenn ein Angriff nur zu Teilen erfolgreich war. Der Pwn2Own-Wettbewerb findet im Rahmen der Sicherheitskonferenz CanSecWest in Vancouver, Kanada statt.
Mittlerweile gibt es auch einen Mobile-Ableger des Wettbewerbs. Dort machen sich Hacker über aktuelle Smartphones her.
[UPDATE 19. März 2018 11:10 Uhr]
Details zu Angriffen im Fließtext ergänzt. (des)
