Über 1 Million Dollar an Hacker beim Pwn2Own Toronto vergeben

Pwn2Own, der jährliche Computer-Hacking-Wettbewerb, der am 27. Oktober 2023 in Toronto, Kanada, zu Ende ging, sah Sicherheitsforscher, die 1.038.500 $ für 58 einzigartige Zero-Day-Exploits (und mehrere Bug-Kollisionen) verdienten.

Die viertägige Hacking-Veranstaltung fand zwischen dem 24. Oktober 2023 und dem 27. Oktober 2023 statt, wobei Preisgelder von über 1.000.000 USD und andere Preisformen für die Teilnehmer zur Verfügung standen.

Die Hacking-Veranstaltung hatte mehrere Kategorien, die die Sicherheitsforscher im Wettbewerb anvisieren konnten, darunter Drucker, Überwachungssysteme, netzwerkgebundene Speichergeräte (NAS), Mobiltelefone, Smart-Home-Hubs, intelligente Lautsprecher sowie Googles Pixel Watch und Chromecast-Geräte.

Im Hacking-Wettbewerb wurde das Samsung Galaxy S23 viermal erfolgreich von den Teams von Pentest Ltd, STAR Labs SG, Interrupt Labs und ToChim gehackt. Während Pentest Ltd und Interrupt Labs in der Lage waren, eine unzureichende Eingangsvalidierung gegen das Samsung Galaxy S23 durchzuführen, konnten STAR Labs SG und ToChim eine großzügige Liste erlaubter Eingaben gegen das Smartphone ausnutzen.

Darüber hinaus brachte die Ausnutzung des Samsung Galaxy S23 den Teams von Pentest Ltd und Interrupt Labs eine Belohnung von 50.000 $ bzw. 25.000 $ und 5 Master of Pwn-Punkte, während die Teams von STAR Labs SG und ToChim jeweils 25.000 $ und 5 Master of Pwn-Punkte für ihre Exploits erhielten.

Weitere Highlights:

• Chris Anastasio konnte einen Bug im TP-Link Omada Gigabit Router und einen weiteren im Lexmark CX331adwe für 100.000 $ ausnutzen.

• Team Orca von Sea Security führte eine 2-Bug-Kette mit einem OOB Read und UAF gegen den Sonos Era 100 für 60.000 $ aus.

• Ein DEVCORE-Praktikant führte einen Stack-Overflow-Angriff gegen den TP-Link Omada Gigabit Router durch und nutzte zwei Bugs im QNAP TS-464 für 50.000 $ aus.

• Team Viettel konnte einen heap-basierten Buffer Overflow und einen stack-basierten Buffer Overflow gegen den TP-Link Omada Gigabit Router und den Canon imageCLASS MF753Cdw für den SOHO Smashup für 50.000 $ ausführen.

• Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark und HP wurden während des Wettbewerbs alle ausgenutzt.

Der Gesamtsieger des Master of Pwn war Team Viettel mit 30 Master of Pwn-Punkten und einem Gewinn von 180.000 $. Auf der Rangliste folgte Team Orca von Sea Security mit 116.250 $ (17,25 Punkte) und DEVCORE-Praktikant und Interrupt Labs (jeweils mit 50.000 $ und 10 Punkten).

Chris Anastasio und Pentest Ltd. belegten den vierten und fünften Platz auf der Rangliste mit jeweils neun Punkten und gewannen 100.000 $ bzw. 90.000 $.

Der vollständige Zeitplan der Pwn2Own Toronto 2023 Hacking-Veranstaltung kann hier gefunden werden. Die tagesaktuellen Ergebnisse für jede Herausforderung sind ebenfalls hier zu finden (1, 2, 3, 4).

Was ist Pwn2Own?

Pwn2Own ist ein Hacking-Wettbewerb, der jedes Jahr von Trend Micros Zero Day Initiative (ZDI) organisiert wird, an dem ethische Hacker, Cybersicherheitsexperten und mehrere andere Teilnehmer teilnehmen.

Im Pwn2Own-Hacking-Wettbewerb nutzen Sicherheitsforscher die neuesten und beliebtesten mobilen Geräte und IoT-Geräte aus, demonstrieren ihre Fähigkeiten und legen bedeutende Zero-Day-Sicherheitsanfälligkeiten gegenüber Technologieunternehmen offen. Die Gewinner des Wettbewerbs erhalten das Gerät, das sie ausgenutzt haben, sowie einen Geldpreis.

Nach der Veranstaltung haben die Anbieter 90 Tage Zeit, um Patches für diese Bugs zu erstellen. Nach Ablauf der Frist gibt ZDI die Schwachstellen öffentlich bekannt, unabhängig vom Patch-Status.