Pwn2Own 2015: Hacker knacken die großen Domain-Internet-Browser
Jedes Jahr veranstaltet die HP-Tochtergesellschaft Zero Day Initiative (ZDI) den mittlerweile etablierten und hoch dotierten Hackerwettbewerb Pwn2Own. Die „Hacker“, die vorwiegend als Sicherheitsforscher arbeiten, präsentierten Schwachstellen und Sicherheitslücken in nahezu allen großen Domainbrowsern und deren Addons wie z.B. der Flashplayer und kassierten dafür Preisgelder in einer Gesamthöhe von 557.500 USD, gesponsert von ZDI.
Große Sicherheitslücken bei den aktuellen Domain-Browsern: Explorer, Chrome, Firefox und Safari
Während der zweitägigen Veranstaltung versuchten verschiedene Hackerteams, die Sicherheitsschranken der unterschiedlichen DomainBrowser zu überwinden und deren Schwachstellen aufzudecken.
Nur 30 Minuten für einen Domain-Browser-Hack
Zu den Vorgaben des Wettbewerbs gehörte die wirklich eng bemessene Zeit von nur 30 Minuten für jedes Team. Die Domainbrowser-Hacks mussten auf Computern durchgeführt werden, die ZDI zur Verfügung stellte und die den Teams unbekannt waren.
Am ersten Tag konnten die Sicherheitsforscher vom Keen Team und dem Team509 die Sicherheitsschranken von Microsoft und Adobe mittels eines Heap Overflows im Flash Player entschärfen und danach einen Windows PC kontrollieren. Das Preisgeld für diesen erfolgreichen Hack betrug 85.000 USD. Das Keen Team erhielt für einen weiteren TTF Bug am ersten Tag noch einmal 55.000 USD. Team360Volcan wurde mit 32.500 USD für ein IE 64-BIT Exploit belohnt.
Auch Nicholas Joly, einer der besten Sicherheitsforscher, konnte im Flash Player eine Sicherheitslücke nachweisen und erhielt dafür 30.000 USD. Danach startete er einen Pufferüberlauf im Adobe Reader, um Codes auszulesen und gleich darauf einen zweiten Überlauf, um weitere Informationen zu erhalten. Für diese Bugs erhielt Joly weitere 30.000 USD, schloss diesen Tag also mit beachtlichen 60.000 UDS Preisgeld ab.
Der schnellste Hack dieses Wettbewerbs wurde von Marius Mlynski durchgeführt, der in nur knapp einer halben Sekunde über eine Cross-Origin-Firefox Schwachstelle die Kontrolle über einen Windows PC übernahm und für diese Leistung ebenfalls 55.000 USD erhielt.
Der Hacker ilux1a konnte am zweiten Tag einen Domain-Bug erfolgreich in Firefox setzen (15.000 USD), scheiterte aber an einem Versuch, den Chrome Domainbrowser in der vorgegebenen Zeit zu überwinden.
Der Sieger der Pwn2Own 2015: JungHoon Lee
Der Sicherheitsforscher JungHoon Lee ist der Sieger des diesjährigen Hackerwettbewerbs. Er konnte gleich drei relevante Domain-Browser-Sicherheitslücken: im IE 64 BIT, im Google Chrome und im Apple Safari Browser. Dafür erhielt er insgesamt 225.000 USD, 10.000 davon waren von Google gesponsert. Kein anderer Teilnehmer konnte an die Erfolgsquote von Lee heranreichen.
Domainhacking als Chance für Anbieter
Sicherheitsforscher sind unverzichtbar für die Anbieter von Betriebssystemen, Domain-Browsern und anderer Software. Durch Hackerwettbewerbe, wie die Pwn2Own werden den Anbietern große Sicherheitslücken und Schwachstellen aufgezeigt, ohne von den Hackern ausgenutzt zu werden. Diese wichtigen Informationen belohnen große Konzerne gerne mit Prämien für die erfahrenen IT Spezialisten.
Nach dem Ende des Wettbewerbs haben die ersten Anbieter – u.a. Google und Mozilla – sofort reagiert und entsprechende Updates zur Schließung der neuen Sicherheitslecks für die Nutzer bereitgestellt.