Beim Hacker-Wettbewerb Pwn2Own 2016 haben die Teilnehmer erfolgreiche Angriffe auf Chrome, Edge und Safari gestartet. Auch Flash Player, Mac OS X und Windows wurden gehackt. [...]
Wie immer hat der Hacker-Wettbewerb Pwn2Own auch in diesem Jahr im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver stattgefunden. Doch es hat auch Neuerungen gegeben. Der Veranstalter TippingPoint hat seinen Besitzer gewechselt: HP hat seine Tochterfirma im Herbst 2015 an Trend Micro verkauft . Außerdem hat TippingPoint eine Punktwertung eingeführt, sodass es am Ende einen klaren Sieger des Wettbewerbs, den „Master of Pwn“ küren konnte.
Als Angriffsziele (und Zusatzprämie) dienten Notebooks mit Windows 10 und Mac OS X 10.11 („El Capitan“). Darauf installiert waren die Browser Chrome und Edge sowie der aktuelle Flash Player (Windows) und Safari (Mac). Extrapunkte haben die Preisrichter vergeben, wenn die Teilnehmer durch Ausnutzen bis dato unbekannter Sicherheitslücken System- oder Root-Rechte erlangt haben oder aus der Browser-Sandbox ausbrechen konnten. Firefox war nicht als Zielscheibe im Wettbewerb, da es nicht über eine solche Sandbox verfügt. Als Sonderziel war VMware dabei, es hat sich jedoch niemand daran versucht.
Insgesamt haben vier Teams und eine Einzelperson die Herausforderungen angenommen, darunter etliche Chinesen. Sie haben mit insgesamt 20 neuen Schwachstellen sowie einer dem Hersteller bereits bekannten Chrome-Lücke alle Ziele außer VMware erfolgreich gehackt. Dabei ist es den Teilnehmern auch mehrfach gelungen, über den Browser auf Systemebene vorzudringen und eingeschleusten Code auszuführen. Dazu haben sie fünf Lücken in OS X und sechs in Windows ausgenutzt. Zwei Schwachstellen in Edge, drei in Safari und vier im Flash Player dienten als Einfallstor.
Insgesamt haben die Veranstalter 460.000 US-Dollar an Prämien ausgeschüttet. Als Gesamtsieger ist das Tencent Security Team Sniper gekürt worden, das mit Exploits für Flash Player, Windows, Edge, Safari und OS X 38 Punkte sowie 142.500 Dollar Preisgeld erzielt hat. Mit etwas mehr Geld (145.000 Dollar), aber nur 25 Punkten hat JungHoon Lee („lokihardt“) den zweiten Platz belegt. Punktgleich Dritter mit 132.500 Dollar Preisgeld ist das Team 360Vulcan geworden.
Alle beim Wettbewerb ausgenutzten Schwachstellen sind mitsamt Exploit-Code noch während der Veranstaltung an die betroffenen Software-Hersteller übergeben worden. TippingPoint hat heute ein Update für seine Schutzfilter (Digital Vaccine) veröffentlicht, wodurch seine Kunden vor allen Angriffen geschützt sein sollen, die auf diese Lücken abzielen. Apple hat am Montag ein Update auf Safari 9.1 sowie Sicherheits-Updates für OS X bereit gestellt.
* Frank Ziemann ist Redakteur der PC-Welt.
Be the first to comment