Cyberbedrohungen
Pwn2Own Vancouver 2024: Mehr Preisgeld und ein Tesla 3
An zwei spannenden Wettbewerbstagen gelang es den Teilnehmern des Pwn2Own Vancouver 29 Schwachstellen zu nutzen, um verschiedene Software und Produkte zu hacken. Insgesamt gab es mehr als 1.300.000 Dollar Preisgeld und einen Tesla 3.
Der diesjährige Pwn2Own in Vancouver sollte die bislang größte Veranstaltung in Vancouver werden - sowohl bezüglich der Teilnehmerzahlen als bezüglich der möglichen Preise. Der Veranstalter ZDI zahlte 1.132.500 US-Dollar für die Vorführung von 29 Zero-Days (und einigen Fehlerkollisionen) an zwei spannenden Wettbewerbstagen. Zudem gab es ein Tesla Model 3 für das Hacking des Fahrzeugs. Während der Veranstaltung versuchten sich die Teilnehmer am Hacking von Software und Produkten in den Kategorien Webbrowser, Cloud-Native/Container, Virtualisierung, Unternehmensanwendungen, Server, lokale Eskalation von Privilegien (EoP), Unternehmenskommunikation und Automotive ab, alle aktuell und in ihrer Standardkonfiguration.
Den Konkurrenten gelang es, auf vollständig gepatchten Systemen Code auszuführen und die Rechte zu erweitern, nachdem sie Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, drei Webbrowser (Apple Safari, Google Chrome und Microsoft Edge) und das Tesla Model 3 gehackt hatten.
Manfred Paul gewann den Pwn2Own Vancouver 2024 mit 25 Master-of-Pwn-Punkten und 202.500 Dollar für das Hacken der Webbrowser Apple Safari, Google Chrome und Microsoft Edge. Er nutzte drei Zero-Day-Schwachstellen aus. Zudem nutzte er weiterhin eine Out-of-Bounds (OOB) Write Zero-Day-Lücke aus, um aus der Ferne Code ausführen zu können. Es gelang ihm der Ausbruch aus der Sandbox von Mozilla Firefox, indem er eine Schwachstelle in einer gefährlichen Funktion ausnutzte.
Synacktiv auf Platz zwei führte vor, wie sie das Tesla-Steuergerät mit Fahrzeug-CAN-BUS-Steuerung (VEH) in weniger als 30 Sekunden durch einen Integer-Überlauf hacken konnten. Damit gewann das Team das Tesla Model 3 und 200.000 US-Dollar.
Seunghyun Lee vom KAIST Hacking Lab, der Drittplatzierte, konnte über Use-After-Free (UAF)-Schwachstelle den Google Chrome Browser und auch Microsoft Edge hacken.
Üblicherweise haben nun die Hersteller 90 Tage Zeit, die gefundenen Schwachstellen zu patchen, bevor die ZDI damit an die Öffentlichkeit geht.
Mozilla hat die Sicherheitslücken in Firefox 124.0.1 und Firefox ESR 115.9.1 behoben, um mögliche Angriffe auf ungepatchte Webbrowser auf Desktop-Geräten zu verhindern. Die beiden Sicherheitslücken wurden nur einen Tag, nachdem Manfred Paul sie beim Pwn2Own-Hacking-Wettbewerb ausgenutzt und gemeldet hatte, gepatcht.