Pwn2Own 2021: Windows 10, Exchange und Teams gehackt

An den ersten beiden Tagen des von der Zero Day Initiative veranstalteten Wettbewerbs Pwn2Own 2021 haben Hacker zahlreiche bisher unbekannte Sicherheitslücken in Software von Herstellern wie Apple und Microsoft präsentiert. Preisgelder von jeweils 200.000 Dollar wurden unter anderem für Schwachstellen in Exchange Server und Teams ausgeschüttet. Aber auch Nutzer von Windows 10, Safari oder der Virtualisierungssoftware Parallels werden in Kürze wahrscheinlich neue Sicherheitsupdates erhalten.

Zur Eröffnung der rein virtuellen Veranstaltung kombinierte Jack Dates von RET2 Systems einen Inter-Überlauf in Safari mit einem OOB-Write-Bug, um Schadcode auf Kernelebene auszuführen – was mit 100.000 Dollar belohnt wurde. Das Devcore-Team übernahm kurz darauf die vollständige Kontrolle über einen Exchange-Server und kassierten dafür besagte 200.000 Dollar.

Microsoft Teams hielt den Angriffen eines Forschers namens OV nicht stand. Er demonstrierte das Einschleusen und Ausführen von Schadcode, was ihm ebenfalls 200.000 Dollar einbrachte.

Im weiteren Verlauf des ersten Tags verdiente das Team Viettel 40.000 Dollar mit einem Bug in Windows 10 und Ryota Shiga von Flatt Security 30.000 Dollar mit einer neuen Anfälligkeit in Ubuntu Desktop. In beiden Fällen gelang eine nicht autorisierte Ausweitung von Benutzerrechten. Das Star Labs Team scheiterte indes bei der Präsentation von Schwachstellen in Parallels Desktop und Oracle VirtualBox.

Die Software von Parallels war dann aber zu Beginn des zweiten Tags erfolgreich das Ziel von Jack Dates von RET2 Systems. Insgesamt drei Bugs kombinierte der Forscher, um Code auf dem Host-Betriebssystem auszuführen. Das wurde mit 40.000 Dollar belohnt.

Weitere 200.000 Dollar sicherten sich Daan Keuper und Thijs Alkemade von Computest. Sie stellte eine Kette von drei Schwachstellen zusammen, um über den Video-Messenger Zoom Schadcode einzuschleusen und auszuführen, und zwar ohne eine Interaktion mit dem Nutzer des Zielsystems. Ein Angreifer muss nach Angaben von Zoom jedoch bereits Mitglied eines Zoom-Chats sein. Auch seien Zoom Meetings und Zoom Webinars nicht betroffen.

Außerdem wurden erneut Parallels Desktop und Ubuntu gehackt. Windows 10 stand sogar zwei weitere Male auf der Tagesordnung – zweimal demonstrierten Forscher erfolgreich eine Sicherheitslücke. Ein weiteres Highlight war der Auftritt von Bruno Keith und Niklas Baumstark von Dataflow Security. Ein Exploit, der sich gegen Chrome und Microsoft Edge einsetzen lässt, brachte ihnen 100.000 Dollar.

Am heutigen dritten Tag stehen erneut Parallels Desktop, Exchange Server Ubuntu Desktop und Windows 10 auf der Tagesordnung. Alle Schwachstellen, die während Pwn2Own demonstriert werden, gibt die Zero Day Initiative an die jeweiligen Hersteller weiter. Sie haben anschließend 90 Tage, um einen Patch zu veröffentlichen. Zudem wird über sogenannte “Master of Pwn”-Punkte, die zusätzlich zu den Prämien vergeben werden, ein Gewinner des Wettbewerbs ermittelt.