Jedes Jahr veranstaltet die Zero Day Initiative einen „Pwn2Own“-Hacking-Wettbewerb, bei dem Sicherheitsforscher Geld verdienen können, um schwerwiegende Schwachstellen in wichtigen Plattformen wie Windows und macOS zu finden.
Dieses virtuelle Pwn2Own-Event 2021 startete Anfang dieser Woche und umfasste 23 separate Hacking-Versuche für 10 verschiedene Produkte, darunter Webbrowser, Virtualisierung, Server und mehr. Das diesjährige Pwn2Own-Event, eine dreitägige Angelegenheit, die mehrere Stunden am Tag umfasst, wurde per Livestream auf YouTube übertragen.
Apple-Produkte wurden in Pwn2Own 2021 nicht stark ins Visier genommen, aber am ersten Tag führte Jack Dates von RET2 Systems einen Safari-to-Kernel-Zero-Day-Exploit aus und verdiente sich 100.000 US-Dollar. Er verwendete einen Integer-Überlauf in Safari und einen OOB-Schreibvorgang, um die Codeausführung auf Kernel-Ebene zu erreichen, wie im folgenden Tweet demonstriert.
Herzlichen Glückwunsch Jack! Landung einer 1-Klick-Apple Safari zu Kernel Zero-Day um # Pwn2Own 2021 im Auftrag von RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2-Systeme (@ret2systems) 6. April 2021
Andere Hacking-Versuche während des Pwn2Own-Events zielten auf Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome und Microsoft Edge ab.
Ein schwerwiegender Zoom-Fehler wurde beispielsweise von den niederländischen Forschern Daan Keuper und Thijs Alkemade nachgewiesen. Das Duo nutzte ein Trio von Fehlern aus, um mit der Zoom-App ohne Benutzerinteraktion die vollständige Kontrolle über einen Ziel-PC zu erlangen.
Wir bestätigen noch die Details der #Zoomen Exploit mit Daan und Thijs, aber hier ist ein besseres Gif des Fehlers in Aktion. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero-Day-Initiative (@thezdi) 7. April 2021
Pwn2Own-Teilnehmer erhielten mehr als 1,2 Millionen US-Dollar an Belohnungen für die von ihnen entdeckten Fehler. Pwn2Own gibt Anbietern wie Apple 90 Tage Zeit, um einen Fix für die aufgedeckten Schwachstellen zu erstellen, sodass wir davon ausgehen können, dass der Fehler in nicht allzu ferner Zukunft in einem Update behoben wird.
Beliebte Beiträge