Die erste deutsche Ausgabe des Exploit-Wettbewerbs "Pwn2Own" ist zuende und brachte seinen Teilnehmern über eine Million US-Dollar Preisgeld ein. Sieger des Wettbewerbs und frischgekürter "Master of Pwn" war das Team von "STAR Labs" aus Singapur. Der einzige deutsche Teilnehmer Manfred Paul hatte einen Firefox-Exploit im Gepäck.
Der dreitägige Exploit-Wettbewerb fand parallel zur "OffensiveCon", einer Fachkonferenz für Exploit-Autoren und andere Experten offensiver IT-Sicherheit, statt und zog Teilnehmer aus der ganzen Welt an. Diese brachten reichlich unveröffentlichte Sicherheitslücken mit: Insgesamt 28 verschiedene "Zero-Days" kaufte die ausrichtende Zero Day Initiative (ZDI) des Sicherheitsunternehmens Trend Micro an. Nach einer Analyse durch eigene Experten gibt ZDI die Lücken an die Hersteller weiter, die zudem eigene Mitarbeiter als Beobachter vor Ort hatten.
Zwei asiatische Teams setzten sich an die Spitze des Teilnehmerfelds: STAR Labs aus Singapur trugen mit 320.000 Dollar Prämie den Gesamtsieg davon, das Security-Team der vietnamesischen Telefongesellschaft Viettel erreichte Platz 2. Auf den Plätzen 3 bis 5 lagen zwei französische Teams und die Sicherheitsforscher von Wiz.
Deutscher Teilnehmer startet calc.exe
Manfred Paul war der einzige deutsche Teilnehmer. Er "popped calc", wie es im Pwn2Own-Jargon heißt, rief also den Windows-Taschenrechner mittels einer Sicherheitslücke aus Firefox heraus auf. Das brachte dem vormaligen Gewinner des "Master of Pwn"-Titels immerhin 50.000 US-Dollar Prämie ein. Die Siegprämien für erfolgreiche Teilnehmende sind zugleich der Kaufpreis für die zugehörige Sicherheitslücke bei der ZDI.
Die 28 auf der Pwn2Own verwendeten Sicherheitslücken betrafen zu einem Viertel AI-Produkte, darunter Nvidias Triton-Inferenzserver. Doch auch Broadcoms Virtualisierer VMware, Virtualbox, Docker und natürlich Windows waren beliebte Angriffsziele der Exploit-Profis.
Die Top-Exploiter der Pwn2Own kamen aus Singapur und Vietnam.
(Bild: Trend Zero Day Initiative)
Die Veranstaltung Pwn2Own existiert seit 2007. Ihr Name – "pwn to own" heißt frei übersetzt "übernehme, um zu besitzen" – geht auf eine Initiative auf der Security-Konferenz CanSecWest zurück, bei der Teilnehmende ein Macbook nebst 10.000 US-Dollar Exploit-Kaufpreis gewinnen konnten, wenn sie es mit einer Sicherheitslücke erfolgreich übernahmen ("pwned"). Noch heute gehören die Laptops, auf denen erfolgreiche Teilnehmende ihre Exploitversuche durchführten, zu deren Gewinnerprämie, sind jedoch angesichts der teilweise sechsstelligen Preisgelder eher Nebensache.
Bei der Pwn2Own werden immer wieder hochrangige Sicherheitslücken veröffentlicht, vergangenen November in Irland etwa im Betriebssystem des NAS-Herstellers Synology. Im Januar 2025 spielten Hacker auf einem Auto-Infotainmentsystem Doom (ab, denn es handelte sich lediglich um ein Video).
(cku)
English (US) ·