Momentan läuft der renommierte Hacker-Wettbewerb Pwn2Own im Rahmen der kanadischen Security-Konferenz CanSecWest. An den ersten beiden Tagen fielen bereits die Web-Browser Edge und Safari, sowie die Betriebssysteme Windows, macOS und Ubuntu Linux Angriffen über Zero-Day-Lücken zum Opfer. Auch Adobe Flash und Acrobat Reader wurden geknackt.

Mehr Infos Lesen Sie dazu auch: Vom Leben und Sterben der 0days



Pwn2Own fordert einmal im Jahr Hacker dazu auf, ein Gerät über eine Kombination aus Sicherheitslücken ihrer Wahl komplett zu übernehmen. Gelingt es, erhalten sie das Gerät sowie großzügige Preisgelder – dieses Jahr gibt es einen Preisgeld-Topf von insgesamt über einer Million US-Dollar.

Lücken... überall Lücken

Zu den erfolgreichsten Teilnehmern zählen bis jetzt Forscher von Tencent Security – und das, obwohl eins ihrer Teams disqualifiziert wurde, da sie keine echten Zero-Days benutzt hatten und einen Angriff über bereits bekannte Lücken versuchten. Ein anderes Tencent-Team schaffte es, aus der Sandbox des Edge-Browsers auszubrechen und knackte den Browser insgesamt drei Mal. Safari auf macOS fiel ihnen ebenfalls zum Opfer und sie präsentierten einen Exploit für Flash. Außerdem verknüpften sie Bugs im Adobe Reader und im Windows-Kernel, um so Schadcode mit Systemrechten auszuführen.

Das Chaitin Security Research Lab erlangte ebenfalls Root-Rechte auf macOS und schaffte es auch, Linux zu knacken: Über einen Zero-Day im Linux-Kernel gelang es ihnen, ein Ubuntu-System zu kapern. Deutsche Sicherheitsforscher vom Karlsruher Institut für Technologie knackten über Safari macOS, sicherten sich Root-Rechte und schafften es so, der Touch Bar eines MacBook Pro ihren virtuellen Stempel aufzudrücken. Für diesen bisher publikumswirksamsten Hack des Wettbewerbs kassierten sie 28.000 US-Dollar.

Weitere Hacks werden folgen

Der aktuelle Pwn2Own-Wettbewerb wird von der Sicherheitsfirma Trend Micro abgehalten. Alle Zero-Day-Lücken, die dort verwendet wurden, werden vertraulich an die Hersteller gemeldet, damit diese Zeit haben die Lücken zu schließen, bevor die Teilnehmer die Details öffentlich machen. Wer sich nicht an dieses Prozedere hält, wird disqualifiziert.

Am heutigen dritten Tag des Wettbewerbes werden weitere Hacks erwartet. Angekündigt sind unter anderem weitere Edge-Lücken und Angriffe, bei denen das System aus einer virtuellen Maschine heraus gekapert wird (Guest-to-Host-Angriff). Diese gelten als besonder knifflig und sind deswegen mit 100.000 Dollar Preisgeld dotiert. (fab)