Categories: Sicherheit

Pwn2Own 2021: Windows 10, Exchange und Teams gehackt

An den ersten beiden Tagen des von der Zero Day Initiative veranstalteten Wettbewerbs Pwn2Own 2021 haben Hacker zahlreiche bisher unbekannte Sicherheitslücken in Software von Herstellern wie Apple und Microsoft präsentiert. Preisgelder von jeweils 200.000 Dollar wurden unter anderem für Schwachstellen in Exchange Server und Teams ausgeschüttet. Aber auch Nutzer von Windows 10, Safari oder der Virtualisierungssoftware Parallels werden in Kürze wahrscheinlich neue Sicherheitsupdates erhalten.

Zur Eröffnung der rein virtuellen Veranstaltung kombinierte Jack Dates von RET2 Systems einen Inter-Überlauf in Safari mit einem OOB-Write-Bug, um Schadcode auf Kernelebene auszuführen – was mit 100.000 Dollar belohnt wurde. Das Devcore-Team übernahm kurz darauf die vollständige Kontrolle über einen Exchange-Server und kassierten dafür besagte 200.000 Dollar.

Microsoft Teams hielt den Angriffen eines Forschers namens OV nicht stand. Er demonstrierte das Einschleusen und Ausführen von Schadcode, was ihm ebenfalls 200.000 Dollar einbrachte.

Im weiteren Verlauf des ersten Tags verdiente das Team Viettel 40.000 Dollar mit einem Bug in Windows 10 und Ryota Shiga von Flatt Security 30.000 Dollar mit einer neuen Anfälligkeit in Ubuntu Desktop. In beiden Fällen gelang eine nicht autorisierte Ausweitung von Benutzerrechten. Das Star Labs Team scheiterte indes bei der Präsentation von Schwachstellen in Parallels Desktop und Oracle VirtualBox.

Die Software von Parallels war dann aber zu Beginn des zweiten Tags erfolgreich das Ziel von Jack Dates von RET2 Systems. Insgesamt drei Bugs kombinierte der Forscher, um Code auf dem Host-Betriebssystem auszuführen. Das wurde mit 40.000 Dollar belohnt.

Weitere 200.000 Dollar sicherten sich Daan Keuper und Thijs Alkemade von Computest. Sie stellte eine Kette von drei Schwachstellen zusammen, um über den Video-Messenger Zoom Schadcode einzuschleusen und auszuführen, und zwar ohne eine Interaktion mit dem Nutzer des Zielsystems. Ein Angreifer muss nach Angaben von Zoom jedoch bereits Mitglied eines Zoom-Chats sein. Auch seien Zoom Meetings und Zoom Webinars nicht betroffen.

Außerdem wurden erneut Parallels Desktop und Ubuntu gehackt. Windows 10 stand sogar zwei weitere Male auf der Tagesordnung – zweimal demonstrierten Forscher erfolgreich eine Sicherheitslücke. Ein weiteres Highlight war der Auftritt von Bruno Keith und Niklas Baumstark von Dataflow Security. Ein Exploit, der sich gegen Chrome und Microsoft Edge einsetzen lässt, brachte ihnen 100.000 Dollar.

Am heutigen dritten Tag stehen erneut Parallels Desktop, Exchange Server Ubuntu Desktop und Windows 10 auf der Tagesordnung. Alle Schwachstellen, die während Pwn2Own demonstriert werden, gibt die Zero Day Initiative an die jeweiligen Hersteller weiter. Sie haben anschließend 90 Tage, um einen Patch zu veröffentlichen. Zudem wird über sogenannte “Master of Pwn”-Punkte, die zusätzlich zu den Prämien vergeben werden, ein Gewinner des Wettbewerbs ermittelt.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

7 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

7 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

8 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

13 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

15 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago