Pwn2Own Berlin: Windows, Linux, Edge und jede Menge KI-Tools gehackt
Trotz der vielen abgelehnten Bewerber scheint der Ende vergangener Woche von der Zero Day Initiative (ZDI) veranstaltete Hackerwettbewerb Pwn2Own Berlin ein Erfolg gewesen zu sein. Durch erfolgreiche Angriffe unter anderem auf das weitverbreitete Microsoft-Betriebssystem Windows 11 kamen am Ende fast 1,3 Millionen US-Dollar an Preisgeldern zusammen. Das erstplatzierte Team Devcore entschied den Wettkampf dabei mit riesigem Vorsprung für sich.
Das Gewinnerteam sicherte sich schon am ersten Wettkampftag(öffnet im neuen Fenster) mit einem Gesamtgewinn von 205.000 US-Dollar die Führung. 175.000 US-Dollar entfielen dabei allein auf einen Angriff auf Microsoft Edge. Durch eine Verkettung von vier Bugs konnte Devcore dabei aus der Sandbox des Browsers ausbrechen und lokal Code zur Ausführung bringen.
Weitere 30.000 US-Dollar bekam Devcore für eine erfolgreiche Rechteausweitung unter Windows 11. An Tag 2(öffnet im neuen Fenster) glänzte das Team bei einem Angriff auf Microsoft Exchange, bei dem drei Bugs verkettet wurden, um Code mit Systemrechten ausführen zu können. Dafür gab es 200.000 US-Dollar. Am letzten Wettkampftag(öffnet im neuen Fenster) griff Devcore zudem Microsoft Sharepoint an und sicherte sich nochmals 100.000 US-Dollar.
Pwn2Own-Teilnehmer nutzen 47 Zero-Day-Lücken aus
Damit führt Devcore das Leaderboard am Ende mit einem Gewinn in Höhe von 505.000 US-Dollar an. Danach folgen weit abgeschlagen Starlabs SG mit 242.500 US-Dollar, Out Of Bounds mit 95.750 US-Dollar, Compass Security mit 75.000 US-Dollar und Viettel Cyber Security mit 57.500 US-Dollar. Insgesamt gewannen die Teilnehmer der Pwn2Own Berlin über alle drei Wettkampftage hinweg unter Ausnutzung von 47 Zero-Day-Lücken 1.298.250 US-Dollar.
Erfolgreich attackiert wurden neben den genannten Microsoft-Produkten vor allem KI-Tools, Virtualisierungslösungen und Betriebssysteme, darunter das Nvidia Container Toolkit, Nvidia Megatron Bridge, LiteLLM, OpenAI Codex, Chroma, LM Studio, Red Hat Enterprise Linux for Workstations, Cursor, Ollama, VMware ESXi sowie Anthropic Claude Code und Claude Desktop.
Teilweise kam es dabei zu Kollisionen, weil die ausgenutzten Lücken bereits Teil eines vorherigen Hacking-Versuchs oder dem jeweiligen Hersteller anderweitig schon bekannt waren.
Details sind noch geheim
Bis Details zu den bei der Pwn2Own Berlin ausgenutzten Schwachstellen veröffentlicht werden, dürfte es noch eine Weile dauern. In der Regel hält die Zero Day Initiative diese unter Verschluss und räumt den Herstellern 90 Tage Zeit ein, um ihre Produkte zu patchen. Erst danach werden die Sicherheitslücken offengelegt, sofern sie bis dahin nicht auf anderem Wege an die Öffentlichkeit gelangten.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.