Hacking-WM Pwn2own mit spektakulärer Show

Auch dieses Jahr sind Sicherheitsforscher aus der ganzen Welt angetreten, um bei der Pwn2own zu demonstrieren, was Sie sogar mit voll durchgepatchten Systemen alles anstellen können. Schwerpunkt diesmal, wie soll es auch anders sein in Zeiten von Hafnium-Exploit, Kommunikationsplattformen wie Exchange, Teams und Zoom. Insgesamt über 1 Million US-Doller an Preisgeldern konnten Teilnehmer gewinnen.

Als einzige und erste Frau bewies Alisa Esage ihr Können, in dem Sie aus einer virtuellen Parallels-Umgebung ausbrach und auf das Hostsystem zugreifen konnte. Nur VirtualBox von Oracles kam diesmal ungeschoren davon.

Ebenfalls ein großes Thema war dieses Jahr die Eskalation von Systemrechten (Privilege Escalation Exploit). Bei aktuellen Windows 10 Versionen mit allen Sicherheitsupdates gelang es vier Mitbewerbern System-Rechte zu erlangen.

Wie immer bei dieser Weltmeisterschaft mussten alle ausgenutzten Zero-Day-Lücken im Anschluss den Veranstaltern offengelegt werden, damit die Hersteller informiert werden und die Sicherheitslücken geschlossen werden können. Wie jedes Jahr teilgenommen hat das Team Devcore, die bereits im Dezember 2020 eine Sicherheitslücke in Exchange-Servern an Microsoft meldete. Ob dies die gleiche Sicherheitslücke wie Hafnium ist, bleibt ungeklärt.