Pwn2Own 2023: Hacker finden 58 neue Zero-Day-Lücken

Die diesjährige Ausgabe des Wettbewerbs Pwn2Own hat Hackern Preisgelder in Höhe von 1.038.500 Dollar eingebracht. Die Prämien wurden für insgesamt 58 unterschiedliche und bis dahin unbekannte Sicherheitslücken ausgeschüttet, die der Veranstalter Zero Day Initiative inzwischen vertraulich an die jeweiligen Hersteller weitergeleitet hat.

Die letzten beiden Veranstaltungstage nutzten die Teilnehmer für weitere vier erfolgreiche Attacken. Drei davon richteten sich gegen die Sicherheitskamera Wyze Cam v3. Zudem wurde ein Stack-basierte Pufferüberlauf gegen den Drucker Lexmark CX331adwe vorgeführt, der eine Remotecodeausführung erlaubt.

Darüber hinaus gab es weitere sogenannte Bug Collisions, also Präsentationen von unveröffentlichten Sicherheitslücken, die den jeweiligen Herstellern allerdings schon bekannt waren. Davon waren Produkte von Synology, TP-Link, Samsung, Canon und Sonos betroffen.

Darunter waren drei weitere SOHO Smashup, also Angriffe, bei denen Schwachstellen in mehreren Produkte wie Routern und Druckern kombiniert wurden, um Endgeräte im Netzwerk zu kontrollieren. Sie brachten den Hackern trotzdem insgesamt mehr als 100.000 Dollar ein.

Die betroffenen Hersteller haben nun 90 Tage Zeit, um Patches für die neue entdeckten Zero-Day-Lücken zu entwickeln und zu veröffentlichen. Nach Ablauf der Frist behält sich die Zero Day Initiative die Option, Details zu den Anfälligkeiten zu veröffentlichen, auch wenn noch keine Patches vorliegen – um den Druck auf die Hersteller zu erhöhen, ihre Produkte zeitnah abzusichern.