Alle Jahre wieder findet seit 2007 im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver der Hacker-Wettstreit Pwn2Own statt. Anfangs waren nur Browser im Visier der Teilnehmer, inzwischen reicht die Palette über Microsoft Office und Outlook, Virtualisierer (VirtualBox, VMware, Hyper-V) bis erstmalig zu einem Auto, einem Tesla Model 3 . Die ausgelobten Preisgelder für einzelne Exploits reichen in diesem Jahr von 35.000 US-Dollar (VirtualBox) bis 300.000 Dollar (Tesla). Wer an den drei Tagen die meisten Punkte sammelt, wird „Master of Pwn“.
Als Ziele für den ersten Wettbewerbstag, den 20. März, hat der Veranstalter, die Zero Day Initiative ( @thezdi ) des Sicherheitsunternehmens Trend Micro, Safari (macOS), Oracle VirtualBox und VMware Workstation auf die Tagesordnung gesetzt.
Das Team Fluoroacetate (Amat Cama und Richard Zhu) hat den Wettbewerb mit einem erfolgreichen Angriff auf Safari eröffnet. Sie nutzten einen Bug im JIT-Compiler, um eingeschleusten Code aus der Browser-Sandbox auszubrechen zu lassen. Der Lohn der Mühe: 55.000 Dollar und fünf Punkte für die Gesamtwertung.
Das Duo ist dann gleich noch einmal angetreten, diesmal um VirtualBox zu hacken. Auch dieser Angriff hat zum Erfolg geführt – der Code konnte aus der virtuellen Maschine ausbrechen und auf dem Hostsystem den Taschenrechner starten. Dafür bekommen sie 35.000 Dollar und drei Punkte.
Das gleiche Ziel, VirtualBox, hat anschließend auch Phạm Hồng Phi (@4nhdaden), Sicherheitsforscher bei Starlabs, ins Visier genommen – mit vergleichbarem Ergebnis. Auch er erhält 35.000 Dollar und drei Punkte.
Dann hat sich wieder das Fluoroacetate-Team einer Aufgabe gestellt. Diesmal sollte VMware Workstation fallen. Auch dieser Exploit hat geklappt. Die Hacker konnten ihren Code aus der virtuellen Maschine ausbrechen lassen und auf dem Host ausführen. Dafür gibt es 70.000 Dollar sowie sieben Masterpunkte für die Gesamtwertung.
Zum Abschluss des Tages ist nochmals Safari aufs Korn genommen worden. Dem Team Phoenhex & qwerty (@_niklasb, @qwertyoruiopz, @bkth_) ist es gelungen, sich höhere Berechtigungen zu verschaffen und ihren Code mit Kernel-Rechten auszuführen. Einer der ausgenutzten Fehler in Safari war Apple zwar bereits vorher bekannt, doch das Team erhält 45.000 Dollar sowie vier Punkte.
Für den heutigen zweiten Tag des Wettbewerbs sind jeweils zwei Angriffe auf Firefox und Edge angesetzt. Am Freitag soll schließlich der Tesla attackiert werden. Dieser bietet mehrere Angriffsflächen, etwa das Infotainmentsystem oder das Sicherheitssystem VCSEC (Vehicle Controller Secondary). Letzteres zu hacken, könnte 250.000 Dollar einbringen. Wer das schafft, würde wohl das bislang in Führung liegende Fluoroacetate-Duo von der Spitze verdrängen und sich den Titel „Master of Pwn“ sichern.
Quelle: Pwn2Own: Hacker knacken Safari, VirtualBox und VMware - PC-WELT