Klick sicher: Pwn2Own – die WM der ethischen Hacker

Beim Hacker-Wettbewerb Pwn2Own gab es in diesem Jahr wieder zahl­reiche erstaunliche Hacks zu sehen, die die großen Software-Anbieter alt aussehen lassen und Verbraucher aufhorchen lassen sollten. Geknackt wurden unter anderem Windows, Zoom, Exchange und Chrome.

Hacker (Illustrationsbild: © Bildagentur PantherMedia / Gorodenkoff)

Illustrationsbild: © Bildagentur PantherMedia / Gorodenkoff

Zielsetzung

Pwn2Own ist ein Computer-Hack-Wettbewerb, der seit 2007 jährlich stattfindet. Das Ziel ist es bei weit verbreiteter Software oder mobilen Geräten unbekannte Schwachstellen zu finden und sie auszunutzen. Die Gewinner bekommen das Gerät, das sie gehackt haben und einen hohen Geldpreis. Der Veranstalter „Zero Day Initiative“ übermittelt die Informationen anschließend dem Hersteller, der daraufhin 90 Tage Zeit hat, um die so entdeckten Sicherheitslücken zu schließen.

Komplette Übernahme

Besonderer Schwerpunkt war dieses Jahr wegen der Covid-Pandemie die Unternehmenskommunikation wie Microsoft Teams und Exchange sowie Zoom. Hierfür gab es 200.000 US-Dollar Preisgeld. In dieser Kategorie hat ein niederländisches Team gewonnen, deren Demonstration auch gleichzeitig eines der Highlights dieser Veranstaltung war.
Den beiden Sicherheitsforschern Daan Keuper und Thijs Alkemade gelang es, innerhalb der vorgegebenen Zeit durch das Aufdecken von drei verschiedenen Schwachstellen in der Video-Kommunikation-Software Zoom, die komplette Kontrolle über einen Computer zu übernehmen. Tatsächlich waren die entdeckten Schwachstellen bislang unbekannt, sodass das Team in dieser Kategorie den Hauptgewinn einstreichen konnte.

Das Problem „Zoom“

Zoom ist eine der größten Plattformen für Videokonferenzen und wird seit der Covid-Pandemie intensiv von Unternehmen und Bildungsinstituten genutzt. Die entdeckten Schwachstellen sind nicht veröffentlicht worden und daher bisher den meisten Cyberkriminellen nicht bekannt. Wer auf Nummer sicher gehen will, sollte die Desktop Software auf dem Computer weder laden noch installieren, bis die Lücken offiziell geschlossen sind. Stattdessen kann die Zoom-Browser-Oberfläche genutzt werden. Zoom fordert zwar dazu auf, die Desktop-App herunterzuladen, doch die Software funktioniert auch im Browser.

Die Veranstaltung hat eines gezeigt: Fast keine der zur Verfügung gestellten Soft- und Hardware war vor den Experten sicher, einige sind auch nur an dem vorgegebenen Zeitlimit gescheitert. Solche Veranstaltungen sind enorm wichtig, weil sie die Sicherheit der millionenfach verwendeten Software verbessern. Daher ist es auch für den Endverbraucher enorm wichtig, vorhandene Updates immer zeitnah zu installieren, um bekannte Sicherheitslücken zu schließen.

Infos: Danny Loos, RCCU