Pwn2Own Premiere in Berlin:
Windows 11 und Firefox geknackt

Die Berlin-Premiere des Hacking-Wettbewerbs Pwn2Own endete mit einer recht beeindruckenden Bilanz: Preisgelder von über einer Million Dollar (967.000 Euro) wurden ausgeschüttet und 28 neu entdeckte Sicherheits­lücken an die Hersteller gemeldet.
Sicherheit, Internet, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, System, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Ransom, Hacks, Gehackt, Schädling, Malware Warnung

Top-Plattformen im Sicherheitscheck

Die internationalen Sicherheitsexperten demonstrierten ihre Fähigkeiten an Systemen wie Windows 11, Linux und Firefox und das überaus erfolgreich. Bereits am zweiten Tag hatten die Teilnehmer 20 Zero-Day-Schwachstellen offengelegt. Neben klassischen Zielen wie Betriebssystemen und Browsern wurden auch Virtualisierungslösungen und Netzwerkkomponenten erfolgreich angegriffen.

Premiere für KI-Sicherheitstests

Die von Trend Micro betriebene Zero Day Initiative (ZDI) führte erstmals eine spezielle KI-Kategorie ein. Anders als bei einfachen Prompt-Injections mussten die Teilnehmer vollständige Code-Ausführung auf KI-Frameworks erreichen. Die sieben entdeckten KI-Schwachstellen unterstreichen die wachsende Bedeutung dieser Technologie für die Cybersicherheit.


Sicherheit durch Zusammenarbeit

Die entdeckten Schwachstellen wurden wie immer vertraulich an die Hersteller weitergegeben, die typischerweise 90 Tage Zeit haben, Updates zu entwickeln. Dieses Verfahren, erstmals 2007 auf der CanSecWest eingeführt, hat sich als effektiver Mechanismus zur Stärkung der digitalen Sicherheitslandschaft etabliert.

Das STAR Labs SG Team errang mit 320.000 Dollar (287.000 Euro) und 35 Punkten den begehrten "Master of Pwn"-Titel. Das Dauerthema Firefox und Manfred Paul war auch wieder vertreten. Dieses Mal zeiget er, wie sich der Browser durch einen Integer-Overflow-Fehler kompromittieren ließ und erhielt dafür 50.000 Dollar (45.000 Euro).

Erfolgreiche Hacks von Windows 11 waren:

  • Chen Le Qi von STARLabs SG kombinierte einen UAF und einen Integer-Überlauf, um unter Windows 11 zum Systemebene zu gelangen. Er erhält $30.000 und 3 Master of Pwn-Punkte.
  • Marcin Wiązowskis Privilegienerweiterung wurde unter Windows 11 bestätigt. Er benutzte einen Out-of-Bounds Write, um auf Systemebene zu gelangen. Seine Arbeit bringt ihm $30.000 und 3 Master of Pwn-Punkte ein.
  • Hyeonjin Choi von Out Of Bounds erhält $15.000 für den Sieg in der dritten Runde und 3 Master of Pwn-Punkte, indem er erfolgreich einen Type Confusion Bug zur Eskalation von Privilegien in Windows 11 nutzt.

Pwn2Own

Der Name "Pwn2Own" verbindet den Hacker-Begriff "pwn" (übernehmen) mit dem Ziel, Geräte durch Überwindung ihrer Sicherheitsmechanismen zu "besitzen". Die Zero Day Initiative wurde 2005 von TippingPoint gegründet und später von Trend Micro übernommen. Sie hat sich zum Ziel gesetzt, verantwortungsvolle Offenlegung von Sicherheitslücken zu fördern und Entwicklern Zeit zu geben, Schwachstellen zu beheben, bevor sie öffentlich bekannt werden.

Was haltet ihr von solchen Hacking-Wettbewerben? Sind sie der richtige Weg, um Software sicherer zu machen? Teilt eure Gedanken dazu in den Kommentaren!

Was ist Pwn2Own?
Pwn2Own ist einer der weltweit renommiertesten Hacking-Wettbewerbe, der seit 2007 jährlich auf der Sicherheitskonferenz CanSecWest stattfindet. Inzwischen wird er sogar mehrfach pro Jahr veranstaltet. Teilnehmer versuchen, bislang unbekannte Sicherheitslücken (Zero-Day-Exploits) in verbreiteter Software oder Geräten zu finden und auszunutzen.

Der Name kommt aus dem Netzjargon: "pwn" bedeutet "hacken/übernehmen", "2" steht für "to" und "own" für "besitzen". Das Prinzip ist also: Ein Gerät hacken, um es zu gewinnen und zu besitzen. Die Aussprache ist übrigens etwa [poʊn] oder [pəʊn].
Wie funktioniert der Wettbewerb?
Teilnehmer melden sich mit Exploits für bestimmte Zielsysteme an, darunter Webbrowser, Betriebssysteme, Smartphones und seit 2019 auch Automobile. Die Hacker haben dann nur ein enges Zeitfenster (meist etwa 10 Minuten pro Versuch), um ihre Angriffe erfolgreich durchzuführen.

Für jeden erfolgreichen Exploit gibt es Punkte und Geldpreise - in den letzten Jahren wurden oft über 1 Million US-Dollar pro Event ausgeschüttet. Wer die meisten Punkte sammelt, wird zum "Master of Pwn" gekürt und erhält einen zusätzlichen Preis sowie eine spezielle Jacke.
Wie hoch sind die Preisgelder?
Die Preisgelder bei Pwn2Own sind beeindruckend hoch und können für besonders schwierige Exploits in die Hunderttausende von Dollar gehen. Insgesamt werden bei einer Veranstaltung oft über 1 Million US-Dollar ausgeschüttet, was die Bedeutung des Wettbewerbs für die Sicherheitsbranche unterstreicht.

Neben dem Geld erhalten erfolgreiche Teilnehmer in der Regel auch das gehackte Gerät selbst - daher der Name "Pwn2Own" (hack to own). Der Gesamtsieger mit den meisten Punkten wird zudem zum "Master of Pwn" gekürt und erhält eine begehrte spezielle Jacke als zusätzliche Auszeichnung.
Was wurde bisher gehackt?
In der Geschichte von Pwn2Own wurden nahezu alle großen Browser erfolgreich gehackt, darunter Chrome, Firefox, Safari und Internet Explorer/Edge. Auch zahlreiche Betriebssysteme wie Windows, macOS und verschiedene Linux-Distributionen fielen den Hackern zum Opfer.

In den letzten Jahren wurde das Spektrum erweitert: Mobile Plattformen, IoT-Geräte und sogar Fahrzeuge stehen mittlerweile im Fokus. Ein besonders spektakulärer Hack war 2021 zu sehen, als ein HP-Drucker so manipuliert wurde, dass er über seinen Lautsprecher das Lied "Thunderstruck" abspielte.
Wer sind bekannte Gewinner?
Zu den bekanntesten Teilnehmern und Siegern von Pwn2Own gehören Sicherheitsforscher wie Charlie Miller, der mehrfach MacBooks hackte, und George Hotz (bekannt als "geohot"), der für seine Smartphone-Exploits berühmt wurde. In den letzten Jahren dominierten zunehmend Teams wie Tencent Security Team Sniper oder Keen Team den Wettbewerb.

Diese Sicherheitsexperten genießen in der Branche hohes Ansehen und nutzen den Wettbewerb nicht nur zur Demonstration ihrer Fähigkeiten, sondern tragen auch maßgeblich zur Verbesserung der Cybersicherheit bei, da alle gefundenen Schwachstellen an die Hersteller gemeldet werden.
Gibt es spezielle Kategorien?
Pwn2Own hat sich über die Jahre weiterentwickelt und umfasst mittlerweile verschiedene spezialisierte Wettbewerbe. Neben dem klassischen Format gibt es seit 2023 einen eigenen Wettbewerb für Fahrzeuge namens "Automotive Pwn2Own", bei dem die Betriebssysteme moderner Autos angegriffen werden.

Weitere Kategorien umfassen Enterprise Communications für Unternehmenskommunikationssysteme, IoT-Geräte wie Smart Speaker und Netzwerkausrüstung sowie Server-Technologien. Die Kategorien werden regelmäßig angepasst, um aktuelle Technologietrends und Sicherheitsherausforderungen widerzuspiegeln.
Wie schwer ist Hacken heute?
Das Hacken moderner Systeme ist deutlich anspruchsvoller geworden. Während früher oft eine einzige Sicherheitslücke ausreichte, sind heute meist mehrere Schwachstellen nötig, um moderne Schutzmechanismen wie Sandboxing und Speicherzufallsanordnung zu umgehen.

Diese Entwicklung spiegelt die verbesserten Sicherheitsmaßnahmen wider, die Hersteller implementiert haben - nicht zuletzt aufgrund von Erkenntnissen aus früheren Pwn2Own-Wettbewerben. Dennoch zeigt der kontinuierliche Erfolg der Teilnehmer, dass auch modernste Systeme nicht unverwundbar sind.
Warum ist Pwn2Own so wichtig?
Pwn2Own ist nicht nur ein spektakulärer Wettkampf, sondern ein wichtiger Motor für die Verbesserung der IT-Sicherheit. Die Veranstaltung fördert die verantwortungsvolle Offenlegung von Sicherheitslücken, da alle gefundenen Schwachstellen direkt an die betroffenen Hersteller gemeldet werden.

Dieser Prozess, bekannt als "responsible disclosure", ermöglicht es den Herstellern, Patches zu entwickeln, bevor bösartige Akteure die Schwachstellen ausnutzen können. Somit profitieren letztlich alle Nutzer von Software und Geräten von den Erkenntnissen aus Pwn2Own, was den Wettbewerb zu einem unverzichtbaren Element der globalen Cybersicherheitslandschaft macht.
Zusammenfassung
  • Pwn2Own Berlin: Preisgelder von 1.078.750 Dollar für 28 Zero-Days
  • Neue KI-Kategorie fordert Code-Ausführung in KI-Frameworks
  • STAR Labs SG Team gewinnt Master-of-Pwn-Titel mit 320.000 Dollar
  • Manfred Paul erhält 50.000 Dollar für Firefox-Sicherheitslücke
  • Hersteller haben 90 Tage Zeit für Behebung entdeckter Schwachstellen

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!