Am zweiten Tag des Exploit-Wettbewerbs Pwn2Own in Berlin nutzten Sicherheitsforscher auf der Bühne Lücken in Redis, VirtualBox und Windows 11 aus. Besonders beliebt war jedoch NVidias KI-Server Triton, an dem sich gleich mehrere Wettbewerbsteilnehmer ausprobierten. Ausrichter Trend Micro hat bereits über 600.000 US-Dollar Preisgeld verteilt.
Das Finden und Ausnutzen von Sicherheitslücken findet in aller Regel im Verborgenen statt – ob durch „Whitehat“-Sicherheitsforscher oder Cyberkriminelle. Nur wenige der Sicherheitsexperten suchen eine Bühne, um ihre Zero-Day-Exploits öffentlich auszuprobieren. Diejenigen, die die Aussicht auf Ruhm und fünf- bis sechsstellige Preisgelder auf die Pwn2Own lockt, tun jedoch genau das.
In verschiedenen Kategorien wie AI, cloud-native-Anwendungen oder Webbrowser nutzen die Teilnehmer im Wettbewerb zuvor gefundene Sicherheitslücken aus, die dem Hersteller unbekannt sind – die berühmt-berüchtigten „Zero Days“. Dazu erhalten sie vom Veranstalter Laptops mit der Zielanwendung, etwa dem Browser Firefox, und dreißig Minuten Zeit. Schaffen die Hacker es etwa, in dieser Zeit Root-Zugriff zu erhalten oder aus der Browser- oder Virtualisierungsumgebung auszubrechen, erhalten sie das Preisgeld.
Reichlich Preisgeld
Und das kann beträchtlich ausfallen: Für einen Ausbruch aus ESXi strich ein singapurisches Team 150.000 US-Dollar ein, am Ende des zweiten Wettbewerbstages hatte die Zero Day Initiative (ZDI) bereits über 695.000 Dollar ausbezahlt. Insgesamt prognostizieren die Ausrichter, knapp eine Million Dollar auszuzahlen.
Die Sicherheitslücken und Exploits gibt die ZDI dann an die Hersteller weiter, die auch mit eigenen Vertretern vor Ort sind. So beobachteten zwei Security-Experten von Microsoft einen Sharepoint-Angriff aus dem Publikum.
Tag drei mit Livestream
Alle erfolgreichen und fehlgeschlagenen Exploits landen nicht nur im „Disclosure Room“ zur Offenlegung, sondern auch – um technische Details bereinigt – auch auf Youtube. Zudem gibt es auch am 17. Mai, dem letzten Wettbewerbstag, Livestreams der Angriffe gegen Firefox, Virtualbox, VMware und Windows 11.
pwn2own-Teilnehmer Sina Kheirkhah (Mitte) kämpfte kurz vor seinem Exploit-Versuch auf Sharepoint mit Netzwerkproblemen.
(Bild: heise security)
Der Exploit-Wettbewerb Pwn2Own wird seit 2007 von Trend Micro ausgerichtet und findet in diesem Jahr dreimal statt: in Tokio, Berlin und im irischen Cork. Im Berliner Hilton-Hotel ist der Wettbewerb Teil der Sicherheitskonferenz OffensiveCon.
(cku)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!