Categories: Cybersicherheit

Pwn2Own: Hacker- wettbewerb bringt 26 Zero-Day-Lücken ans Tageslicht

Der von der Zero Day Initiative veranstaltete Hackerwettbewerb Pwn2Own hat in diesem Jahr 26 Zero-Day-Lücken hervorgebracht. Ausgerichtet war die Veranstaltung in diesem Jahr auf Industriekontrollsysteme. Die Teilnehmenden Sicherheitsforscher kassierten zudem Prämien in Höhe von 400.000 Dollar.

An drei Tagen stellten elf Teilnehmer insgesamt 32 Angriffe auf verschiedene Komponenten von Industriekontrollsystemen vor. Die Ziele waren in vier Kategorien unterteilt: Control Server, OPC Unified Architecture Server (OPC UA), Data Gateway und Human Machine Interface (HMI).

Belohnungen wiederum waren in Abhängigkeit vom Schweregrad einer Schwachstelle ausgelobt. Für Bugs, die Denial-of-Service-Angriffe erlauben, gab es 5000 Dollar. Wird eine Remotecodeausführung ermöglicht, zahlte ZDI 20.000 Dollar. 40.000 Dollar wurden für Anfälligkeiten ausgeschüttet, durch die die Prüfung vertrauenswürdiger Anwendungen ausgehebelt wird.

Nur ein Bug qualifiziert sich für die höchste mögliche Belohnung

Den Höchstbetrag kassierte lediglich das Team um den Sicherheitsforscher Daan Keuper, der für den niederländischen Sicherheitsanbieter Computest Sector 7 arbeitet, am zweiten Tag des Wettbewerbs. Er umging die Prüfung vertrauenswürdiger Anwendungen beim OPC Foundation UA .NET Standard.

20.000 Dollar schüttete ZDI indes 13 mal aus. Die Teilnehmer präsentierten dafür unter anderem Lücken in Iconics Genesis64, Inductive Automation Ignition, AVEVA Edge, Triangle Microworks SCADA Data Gateway und Kepware KEPServerEx.

Als Sieger des Wettbewerbs stand am dritten Tag und letzten Tag Daan Keuper und sein Team fest, mit einer Gesamtsumme von 90.000 Dollar. Die Details zu den Schwachstellen wurden bereits während des Wettbewerbs an die jeweiligen Hersteller übermittelt. Sie haben nun 120 Tage Zeit, Patches bereitzustellen, bevor ZDI die jeweiligen Schwachstellen öffentlich macht.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago