ALPS blog

Pwn2Own 2021: Die drei Master of Pwn

Von Trend Micro

Zum zweiten Mal nun wurde der dreitägige renommierte Hacking-Wettbewerb Pwn2Own 2021 online im Web ausgetragen. Trend Micros Zero Day Initiative (ZDI) übertrug die Hacking-Versuche im Livestream über YouTube, Twitch und die Konferenz-Site. Es sollte mit 23 verschiedenen Versuchen das bislang grösste Event in der Geschichte des Wettbewerbs werden. Zehn verschiedene Produkte in den Kategorien Web Browser, Virtualisierung, Server, Local Escalation of Privilege und als neue Kategorie Unternehmenskommunikation standen für den Wettbewerb zur Verfügung. Konkret konzentrierten sich die Hacking-Versuche auf Safari, Chrome, Edge, Windows 10, Ubuntu, Microsoft Teams, Zoom, Parallels, Oracle VirtualBox und Microsoft Exchange.

Insgesamt verteilten die Organisatoren 1,2 Millionen Dollar Preisgelder für erfolgreiche Einbruchsversuche. In den drei Tagen gelang das Hacking aller Produkte, ausser der Virtual Box.

Das höchste Preisgeld von 200.000 $ erhielten Daan Keuper und Thijs Alkemade von Computest für den Zero-Click Hack von Zoom und ein Teilnehmer namens OV der Code-Ausführung auf Microsoft Teams vorführte. Ebenfalls die gleiche Summe erhielt das DEVCORE-Team in der Server-Kategorie, die Microsoft Exchange über die Umgehung von Authentifizierung und einer lokalen Privilege Escalation den Server übernehmen konnten.

Diese drei Teilnehmerteams erhielten auch die höchste Punktezahl, nämlich 20, und wurden zu „Master of Pwn“ gekürt.

Alle zur Verfügung gestellten Systeme waren auf dem aktuellen Patch-Stand. Nach Offenlegung der erfolgreichen Hacks werden nun die Hersteller informiert und haben 90 Tage Zeit, die gefundenen Lücken zu schliessen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ähnliche News