Eigentlich sollte der Hackerwettbewerb Pwn2Own (beziehungsweise dessen Frühlingsausgabe) wieder wie gewohnt im Rahmen der CanSecWest-Konferenz in Vancouver ausgetragen werden. Angesichts der aktuellen Situation fand die CanSecWest allerdings online statt – und so beschloss auch die Zero Day Initative (ZDI) kurzerhand, ihren Contest erstmals in den virtuellen Raum zu verlegen.

Hacking im Team von Zuhause: Der VMWare-Exploit des sympathischen “Synacktiv”-Teams misslang.

(Bild: ZDI via Twitter)

Am 18. und 19. März stellten sechs Teams online insgesamt siebenmal erfolgreich ihr Können unter Beweis. Sie attackierten diverse Zero-Day-Schwachstellen in den Betriebssystemen Windows, macOS und Ubuntu (Desktop) und in der Virtualisierungslösung Oracle VirtualBox.

In zwei Fällen wurden Betriebssystem-Schwachstellen über den Umweg von Anwendungen, nämlich den Safari Browser für macOS und den Adobe Reader unter Windows, ausgenutzt.

Einzig ein “Ausbruchsversuch” aus der VMware Workstation an Tag 2 des Wettbewerbs misslang – zumindest in der Live-Situation: Das betreffende Team habe es nicht geschafft, den Angriff innerhalb der zugeteilten Zeitspanne durchzuführen, heißt es dazu in einem Blogeintrag der ZDI mit Zeitplan und Ergebnissen des Wettbewerbs.

Insgesamt zahlte die ZDI 270.000 US-Dollar an die Teams aus. Der höchste Einzelbetrag floss an das Team der Georgia Tech University für einen Angriff auf den macOS-Kernel via Safari mit daraus resultierenden Root-Rechten (70.000 US-Dollar). Immerhin 50.000 US-Dollar strich das zweiköpfige “Fluoroacetate”-Team für die Übernahme eines Windows-Systems durch das Kombinieren einer Kernel- und einer Adobe-Reader-Schwachstelle ein.

Am Ende des zweiten Tages stand denn auch Fluoroacetate mit 9 Punkten (vor Georgia Tech mit 7 und zwei Teams bzw. Einzelkämpfern mit je 4 Punkten) als Pwn2Own-Gewinner (“Master of Pwn”) 2020 fest.

ZDI bedankte sich beim Sponsor Vmware sowie bei Microsoft als Partner. Mitarbeiter beider Unternehmen seien, wie auch einige weitere von den Schwachstellen betroffene Hersteller, online beim Wettbewerb dabei gewesen.

Bezüglich der Weitergabe relevanter Informationen an die Hersteller hatte ZDI schon vorab mitgeteilt, dass dies wie gewohnt vonstatten gehe, damit im Rahmen einer Responsible Disclosure zeitnah Sicherheitsupdates entwickelt und veröffentlicht werden können.


(ovw)





Source link

You must be logged in to post a comment.