<\/p>\n <\/a><\/p>\n pwn2own-Teilnehmer Sina Kheirkhah (Mitte) k\u00e4mpfte kurz vor seinem Exploit-Versuch auf Sharepoint mit Netzwerkproblemen.<\/p>\n \n (Bild:\u00a0heise security)\n <\/p>\n<\/p>\n
Am zweiten Tag des Exploit-Wettbewerbs Pwn2Own in Berlin nutzten Sicherheitsforscher auf der B\u00fchne L\u00fccken in Redis, VirtualBox und Windows 11 aus. Besonders beliebt war jedoch NVidias KI-Server Triton, an dem sich gleich mehrere Wettbewerbsteilnehmer ausprobierten. Ausrichter Trend Micro hat bereits \u00fcber 600.000 US-Dollar Preisgeld verteilt.<\/p>\n
Das Finden und Ausnutzen von Sicherheitsl\u00fccken findet in aller Regel im Verborgenen statt \u2013 ob durch „Whitehat“-Sicherheitsforscher oder Cyberkriminelle. Nur wenige der Sicherheitsexperten suchen eine B\u00fchne, um ihre Zero-Day-Exploits \u00f6ffentlich auszuprobieren. Diejenigen, die die Aussicht auf Ruhm und f\u00fcnf- bis sechsstellige Preisgelder auf die Pwn2Own lockt, tun jedoch genau das.<\/p>\n
In verschiedenen Kategorien wie AI, cloud-native-Anwendungen oder Webbrowser nutzen die Teilnehmer im Wettbewerb zuvor gefundene Sicherheitsl\u00fccken aus, die dem Hersteller unbekannt sind \u2013 die ber\u00fchmt-ber\u00fcchtigten „Zero Days“. Dazu erhalten sie vom Veranstalter Laptops mit der Zielanwendung, etwa dem Browser Firefox, und drei\u00dfig Minuten Zeit. Schaffen die Hacker es etwa, in dieser Zeit Root-Zugriff zu erhalten oder aus der Browser- oder Virtualisierungsumgebung auszubrechen, erhalten sie das Preisgeld.<\/p>\n
Reichlich Preisgeld<\/p>\n
Und das kann betr\u00e4chtlich ausfallen: F\u00fcr einen Ausbruch aus ESXi strich ein singapurisches Team 150.000 US-Dollar ein, am Ende des zweiten Wettbewerbstages hatte die Zero Day Initiative (ZDI) bereits \u00fcber 695.000 Dollar ausbezahlt. Insgesamt prognostizieren die Ausrichter, knapp eine Million Dollar auszuzahlen.<\/p>\n
Die Sicherheitsl\u00fccken und Exploits gibt die ZDI dann an die Hersteller weiter, die auch mit eigenen Vertretern vor Ort sind. So beobachteten zwei Security-Experten von Microsoft einen Sharepoint-Angriff aus dem Publikum.<\/p>\n
Tag drei mit Livestream<\/p>\n
Alle erfolgreichen und fehlgeschlagenen Exploits landen nicht nur im „Disclosure Room“ zur Offenlegung, sondern auch \u2013 um technische Details bereinigt \u2013 auch auf Youtube. Zudem gibt es auch am 17. Mai, dem letzten Wettbewerbstag, Livestreams der Angriffe gegen Firefox, Virtualbox<\/a>, VMware und Windows 11.<\/a><\/p>\n <\/p>\n <\/a><\/p>\n pwn2own-Teilnehmer Sina Kheirkhah (Mitte) k\u00e4mpfte kurz vor seinem Exploit-Versuch auf Sharepoint mit Netzwerkproblemen.<\/p>\n \n (Bild:\u00a0heise security)\n <\/p>\n<\/p>\n