Pwn2Own-Wettbewerb unterstreicht erneute Hacker-Konzentration auf Kernel-Probleme

Hackers haben während des diesjährigen Pwn2Own-Hacking-Wettbewerbs 21 neue Sicherheitslücken bei Angriffen auf Browser und Betriebssysteme aufgedeckt. Die Komplexität der Exploits zeigt jedoch, dass Hacker durch viele Sprünge springen müssen, um die volle Kontrolle über das System zu erlangen.

Am Mittwoch und Donnerstag demonstrierten fünf Teilnehmer - vier Teams und ein unabhängiger Forscher - drei erfolgreiche Remotecodex-Angriffe gegen Safari unter OS X, zwei gegen Microsoft Edge unter Windows, vier gegen Adobe Flash unter Windows und einen teilweise erfolgreichen Angriff gegen Google Chrome unter Windows. Firefox war in diesem Jahr kein Ziel.

Der Wettbewerb findet jedes Jahr während der Sicherheitskonferenz CanSecWest in Vancouver, Kanada, statt. Die diesjährige Ausgabe wurde von Trend Micro und Hewlett Packard Enterprise gesponsert. Die Teilnehmer mussten Remote-Code-Ausführung auf aktuellen Installationen von Windows 10 und OS X El Capitan durch webbasierte Angriffe erreichen, die zuvor unbekannte Sicherheitslücken in den neuesten Versionen von Apple Safari, Microsoft Edge, Google Chrome, Flash Player und der Betriebssysteme selbst.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Es ist nicht wirklich verwunderlich, dass erfahrene Sicherheitsforscher in allen Browsern Sicherheitslücken gefunden haben, durch die sie bösartigen Code auf den Zielsystemen ausführen konnten. Dies geschieht fast jedes Jahr bei Pwn2Own.

Die Komplexität der Attacken fiel jedoch auf, einige mit Exploit-Ketten, die bis zu vier Schwachstellen ausnutzten. Dies ist ein Beweis für die Sicherheitsverbesserungen, die Browser- und Betriebssystemhersteller in den letzten Jahren gemacht haben.

Es reicht nicht mehr, einen einzelnen Browserfehler zu finden, um beim Besuch einer speziell gestalteten Website die vollständige Kontrolle über einen Computer zu erlangen. Dieser Fehler muss mit anderen kombiniert werden, um Sandbox-Schutzmechanismen zu umgehen oder Code mit den höchstmöglichen Rechten auszuführen - die des "System" -Kontos unter Windows oder des "root" -Kontos unter OS X.

Dieses Jahr wurde der Der Wettbewerb bot einen Bonus von 20.000 $ für Privilegien-Eskalationen zu "System" oder "root" und jeder einzelne erfolgreiche Angriff nahm diesen Bonus, vor allem durch Ausnutzen von Sicherheitslücken in den Betriebssystemkernen.

Von den insgesamt 21 Schwachstellen waren sechs in Browsern und sechs waren in den Betriebssystemkernen. Der Rest war in Komponenten und Prozessen von Flash Player oder OS.

Die Google Chrome-Schwachstelle stellte sich als Duplikat eines Fehlers heraus, der zuvor von einem unabhängigen Forscher vor Pwn2Own an Google gemeldet worden war. Aus diesem Grund wurde der Google Chrome-Angriff nur zu einem Teilerfolg geführt.

"Es ist eine Sicherheit in der Sicherheit, dass Angreifer und Forscher, wenn sie einen Bereich verhärten, ihre Aufmerksamkeit auf einen anderen verlagern", so die Veranstalter des Wettbewerbs Trend Mikro, sagte in einem Blogbeitrag. "Basierend auf Pwn2Own 2016 scheint es so zu sein, dass man sich auf den Kernel konzentriert."

Dieser Trend wird sich wahrscheinlich fortsetzen, so dass sich OS-Hersteller hoffentlich mehr auf die Sicherheit ihrer Kernel konzentrieren werden Der Gewinner des diesjährigen Wettbewerbs war das Tencent Security Team Sniper, das 38 "Master of Pwn" -Punkte sammelte und einen Gesamtpreis von $ 142.500 für seine Heldentaten erhielt. Unabhängiger Forscher JungHoon Lee gewann mehr Geld - $ 145.000 - aber insgesamt weniger Punkte: 25. Er nahm den zweiten Platz.

360 Vulcan Team von der chinesischen Internet-Sicherheitsfirma Qihoo 360 kam auf den dritten Platz mit 25 Punkten und $ 132.500 und einem zweiten Team vom chinesischen Internetgiganten Tencent - dem Tencent Security Team Shield - belegte den vierten Platz mit 10 Punkten und einem Preisgeld von 40.000 US-Dollar. Tencent Xuanwu, ein drittes Tencent-Team, schaffte es überhaupt nicht zu punkten.

Die $ 75.000 Prämie, die dieses Jahr von den Sponsoren des Wettbewerbs bei einer virtuellen Maschine für VMware Workstation vergeben wurde, wurde von keinem der Teilnehmer gewonnen.