Hacking-Event Pwn2Own: 25 Zero-Day-Schwachstellen aufgedeckt

Beim diesjährigen Hacking-Event “Pwn2Own” von Trend Micro in Vancouver konnten Sicherheitsforscher 25 Zero-Day-Schwachstellen bei Software-Anbietern aufdecken, darunter auch Software der Event-Partner Microsoft, Tesla, Zoom und VMware. Die Teilnehmer erhielten Preisgeldern von mehr als einer Million Euro.

Die Hunter nahmen Unternehmenssoftware ins Visier, um Schwachstellen in häufig genutzten Anwendungen ausfindig zu machen. Die Auswahl der Zielsoftware erfolgt aus den weltweit für Unternehmen und Privatpersonen besonders kritischen Bereichen. Bereits am ersten Tag der Veranstaltung verdienten White-Hat-Hacker insgesamt 800.000 US-Dollar, unter anderem für drei erfolgreiche Angriffe auf Microsoft Teams.

Schwachstelle in Zugriffskontrolle von Windows 11

Auch die Linux-Distribution Ubuntu Desktop ließ sich über zwei Schwachstellen hacken. Ebenso erwischte es Ubuntu am nächsten Tag über einen Exploit für das Use-After-Free-Problem, das zu einer Erhöhung der Privilegien führte. Weitere Erfolge erzielten White Hats bei drei Angriffsversuchen auf Windows 11. Die Gruppe T0 demonstrierte einen Exploit für eine Schwachstelle in der Zugriffskontrolle, die zu einer Erhöhung der Berechtigungen unter Microsoft Windows 11 führt. „Unser Team lernt jedes Mal von den Teilnehmern, die während der Veranstaltung Bugs finden und Exploits demonstrieren. Pwn2Own hebt die Messlatte für die gesamte Branche an und wir freuen uns sehr, Teil dieser Veranstaltung zu sein”, sagt Aanchal Gupta von Microsoft

Mit einer Zero Day Initiative (ZDI)  will Trend Micro gemeinsam mit weltweit führenden Technologie-Herstellern die  IT-Landschaft insgesamt sicherer machen. Ziel ist es, neue Angriffswege zu identifizieren, zum Beispiel auch in der Automobilindustrie. „Wie wollen gewährleisten, dass die Software als Treiber der zukünftigen Technologie-Landschaft auch sicher ist – unabhängig von Art und Standort des Endgeräts“ sagt Kevin Simzer, COO von Trend Micro.“