Am zweiten Tag des Exploit-Wettbewerbs Pwn2Own in Berlin nutzten Sicherheitsforscher auf der Bühne Lücken in Redis, VirtualBox und Windows 11 aus. Besonders beliebt war jedoch NVidias KI-Server Triton, an dem sich gleich mehrere Wettbewerbsteilnehmer ausprobierten. Ausrichter Trend Micro hat bereits über 600.000 US-Dollar Preisgeld verteilt.
Das Finden und Ausnutzen von Sicherheitslücken findet in aller Regel im Verborgenen statt – ob durch "Whitehat"-Sicherheitsforscher oder Cyberkriminelle. Nur wenige der Sicherheitsexperten suchen eine Bühne, um ihre Zero-Day-Exploits öffentlich auszuprobieren. Diejenigen, die die Aussicht auf Ruhm und fünf- bis sechsstellige Preisgelder auf die Pwn2Own lockt, tun jedoch genau das.
In verschiedenen Kategorien wie AI, cloud-native-Anwendungen oder Webbrowser nutzen die Teilnehmer im Wettbewerb zuvor gefundene Sicherheitslücken aus, die dem Hersteller unbekannt sind – die berühmt-berüchtigten "Zero Days". Dazu erhalten sie vom Veranstalter Laptops mit der Zielanwendung, etwa dem Browser Firefox, und dreißig Minuten Zeit. Schaffen die Hacker es etwa, in dieser Zeit Root-Zugriff zu erhalten oder aus der Browser- oder Virtualisierungsumgebung auszubrechen, erhalten sie das Preisgeld.
Und das kann beträchtlich ausfallen: Für einen Ausbruch aus ESXi strich ein singapurisches Team 150.000 US-Dollar ein, am Ende des zweiten Wettbewerbstages hatte die Zero Day Initiative (ZDI) bereits über 695.000 Dollar ausbezahlt. Insgesamt prognostizieren die Ausrichter, knapp eine Million Dollar auszuzahlen.
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden
Kommentare