Pwn2Own 2023: Windows 11 und macOS gehackt

Am ersten Tag des diesjährigen Hackerwettbewerbs Pwn2Own im kanadischen Vancouver haben Sicherheitsforscher zahlreiche Schwachstellen in Softwareprodukten von Adobe, Apple, Microsoft und anderen Herstellern vorgeführt. Unter anderem wurden SharePoint, Windows 11 und macOS gehackt.

Den ersten Tag des dreitägigen Wettbewerbs eröffneten die Forscher AbdulAziz Hariri von Haboob SA mit einem erfolgreichen Angriff auf Adobe Reader. Mit einer Kette aus sechs Bugs, die zum Teil auf unvollständigen Patches beruhen, konnte er Schadcode außerhalb der Sandbox der Anwendung ausführen. Er verdiente damit 50.000 Dollar.

SharePoint-Bug bringt 100.000 Dollar

100.000 Dollar sicherte sich daraufhin der aus Singapur stammende Sicherheitsanbieter Starlabs mit zwei Schwachstellen in Microsoft SharePoint. Bien Pham von Qrious Security demonstrierte für 40.000 Dollar zudem eine Anfälligkeit in Oracle VirtualBox.

Ein Bug in Windows 11 bescherte Marcin Wiazowski 30.000 Dollar. Ihm gelang eine nicht autorisierte Ausweitung von Benutzerrechten infolge einer unzureichenden Prüfung von Eingaben durch Windows 11. Selbiges erreichte ein Mitarbeiter des Sicherheitsanbieters Synacktiv in Apple macOS, was ihm ebenfalls 40.000 Dollar einbrachte.

Auch Tesla Model 3 gehackt

Darüber hinaus stellte die Zero Day Initiative als Ausrichter des Wettbewerbs in Zusammenarbeit mit Tesla ein Tesla Model 3 als Angriffsziel bereit. Mitarbeiter von Synacktiv präsentierten eine Sicherheitslücke in Tesla Gateway. Dafür erhielten sie 100.000 Dollar – und gemäß dem Motto des Wettwerbs Pwn2Own auch das von ihnen gehackte Fahrzeug.

Für den heutigen zweiten Tag sind Attacken unter anderem auf Oracle VirtualBox , Microsoft Teams und Ubuntu Desktop angekündigt. Auch soll eine weitere Schwachstelle im Infotainment System von Tesla enthüllt werden. Am Freitag stehen zudem erneut Ubuntu Desktop, Teams und Windows 11 auf dem Programm – und VMware Workstation.