Die Frühjahrsausgabe des Pwn2Own Hacking-Wettbewerbs ist am Freitah zu Ende gegangen. Das Team Fluoroacetate – bestehend aus den Sicherheitsforschern Amat Cama und Richard Zhu -, hat den zweitägigen Wettbewerb mit einer Gesamtpunktzahl von 9 zum vierten Mal in Folge gewonnen. Die Veranstalter zahlten insgesamt ein Preisgeld in Höhe von 270.000 Dollar aus.
Während in den vergangenen Jahren der Hacker-Contest im Rahmen der Cybersicherheitskonferenz CanSecWest in Vancouver stattfand, wurde wegen Reisebeschränkungen aufgrund des Ausbruchs des neuartigen Coronavirus SARS-CoV-2, das die Lungenkrankheit COVID-19 hervorruft, die diesjährige Pwn2Own-Ausgabe online veranstaltet.
Während des zweitägigen Wettbewerbsprogramms gelang es sechs Teams, Anwendungen und Betriebssysteme wie Windows, MacOS, Ubuntu, Safari, Adobe Reader und Oracle VirtualBox zu hacken. Sämtliche Fehler, die während des Wettbewerbs ausgenutzt wurden, wurden sofort an die jeweiligen Unternehmen gemeldet.
EXPLOIT #1: Das Georgia Tech Systems Software & Security Lab (SSLab_Gatech) Team von Yong Hwi Jin (@jinmo123), Jungwon Lim (@setuid0x0_) und Insu Yun (@insu_yun_en) hat Apple Safari mit einer Rechteausweitung des macOS-Kernel ins Visier genommen.
Das Georgia-Tech-Team verwendete eine sechsstufige Kette von Sicherheitslücken und erreichte damit Root-Rechte unter macOS. Für den Exploit vergab die Jury ein Preisgeld von 70000 Dollar und 7 Punkte.
EXPLOIT #2: Flourescence hat mit einer lokalen Rechteausweitung Windows angegriffen. Der Pwn2Own-Veteran nutzte eine „Use after free“-Schwachstelle in Windows, um die Benutzerrechte auszuweiten. Er erhielt ein Preisgeld von 40.000 Dollar und 4 Punkte.
EXPLOIT #3: Manfred Paul vom RedRocket CTF-Team hat die Sicherheit von Ubuntu mit einer lokalen Rechteausweitung überwunden. Der Pwn2Own-Neuling nutzte einen Fehler bei der Eingabevalidierung, um die Rechte zu erhöhen. Dies brachte ihm ein Preisgeld von 30.000 Dolalr und 3 Punkte ein.
EXPLOIT #4: Das Fluoroacetat-Team von Amat Cama und Richard Zhu überwanden die Schutzmechanismen von Windows mit einer lokalen REchteausweitung. Die Pwn2Own-Seriensieger erhielten ein Preisgeld von 40.000 Dollar und 4 Punkte.
EXPLOIT #5: Phi Phạm Hồng (@4nhdaden) von STAR Labs (@starlabs_sg) hat das Sicherheitssystem von Oracle VirtualBox überwunden. Der Forscher verwendete einen Out-of-Bounds-Lese-Bug für ein Info-Leck und eine unitialisierte Variable für die Codeausführung auf dem VirtualBox-Hypervisor. Diesen Versuch belohnte die Jury mit einem Preisgeld von 40.000 Dollar und 4 Punkte.
EXPLOIT #6: Das Fluoroacetat-Team mit Amat Cama und Richard Zhu hat Adobe Reader mit einer lokalen Rechteerweiterung unter Windows kompromittiert. Das Duo nutzte ein Paar von „use-after-free“-Fehlern – einen in Acrobat und einen im Windows-Kernel. Damit erzielten sie ein Preisgeld von 50.000 Dollar und 5 Punkte.
EXPLOIT #7: Das Synacktiv-Team mit Corentin Bayet (@OnlyTheDuck) und Bruno Pujos (@BrunoPujos) hat sich an VMware Workstation versucht. Allerdings misslang der Versuch in der vorgegebenen Zeit.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…