Auch am zweiten Tag des Hackerwettbewerbs Pwn2Own im kanadischen Vancouver haben Sicherheitsforscher bisher unbekannte Schwachstellen in weit verbreiteten Software-Produkten vorgeführt. Zudem wurde erneut Teslas Model 3 gehackt.
Zwei Mitarbeiter von Synacktiv führten ein Angriff auf Oracle VirtualBox vor, bei dem drei Bugs hintereinander ausgenutzt wurden. Am Ende der Kette stand ein sogenannter Host EoP: Sie waren in der Lage, die virtuelle Maschine zu verlassen und Schadcode auf dem Host-System auszuführen, und zwar mit System-Rechten. Als Belohnung erhielten sie 80.000 Dollar.
Das Team Viettel verdiente sich anschließend 75.000 Dollar mit der Kompromittierung von Microsoft Teams über zwei bisher unbekannte Sicherheitslücken. Zudem kombinierte ein Mitarbeiter des Team Viettel eine nicht initialisierte Variable mit einem Use-after-Free-Bug zu einem Exploit für Oracle VirtualBox, was dem Team weitere 40.000 Dollar einbrachte.
Synacktiv nutzte einen weiteren Auftritt, um eine nicht autorisierte Ausweitung von Benutzerrechten unter Ubuntu Desktop vorzuführen. Dafür schütte der Veranstalter Zero Day Initiative ein Preisgeld von 30.000 Euro aus.
Der Höhepunkt des zweiten Tages war jedoch ein Angriff auf das Tesla Infotainment-System. Zwei Mitarbeiter von Synacktiv erhielten Root-Zugriff auf das System, nachdem sie einen Heap-Überlauf mit einem Out-of-Bounds-Schreibfehler kombinierten. Ihre Präsentation qualifizierte sich für einen Tier-2-Preis – was den Forschern ein Preisgeld von 250.000 Dollar bescherte. Laut Synacktiv lassen sich die Bugs im Infotainment-System mit dem am ersten Tag ebenfalls von Synacktiv vorgeführten Angriff auf das Tesla Gateway kombinieren, um die vollständige Kontrolle über ein Fahrzeug zu erhalten.
Am heutigen letzten Tag setzen sich Forscher nochmals mit Ubuntu Desktop, Teams, Windows 11 und VMware Workstation auseinander. Am Ende des Wettbewerbs wird anhand der Preisgelder sowie der parallel vergebenen Master-of-Pwn-Punkte ein Sieger ermittelt.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…