Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für das Auffinden von 58 Zero-Day-Schwachstellen gab es knapp 1 Million Euro Belohnung.
Die Zero Day Initiative gibt die Ergebnisse des aktuellen Pwn2Own-Wettbewerbs bekannt. Bei dem von Trend Micro initiierten Hacking-Wettbewerbs, der von 24.-27. Oktober im kanadischen Toronto stattfand, entdeckten insgesamt die Teilnehmer 58 bisher unbekannte Zero-Day-Schwachstellen. Lücken im Bereich mobiler und IoT-Verbraucherprodukte standen im Mittelpunkt der Hacking-Veranstaltung,
Ethische Hacker finden Zero-Day-Schwachstellen
Gleich mehrere Teams erzielten beim jährlich in Toronto ausgetragenen Wettbewerb besondere Erfolge beim Smartphone-Hack des Samsung-Flaggschiffs Galaxy S23. So konnte das Hacking-Team Pentest Limited durch eine Improper-Input-Validation-Schwachstelle Befehle auf dem Gerät ausführen und wurde mit knapp 47.000 Euro dafür belohnt. Aber auch das Team Star Labs SG führte eine erfolgreiche Attacke durch und konnte ein Video auf dem Gerät abspielen. Insgesamt waren die Teilnehmer in der Lage, das Samsung Galaxy S23 an den vier Veranstaltungstagen ganze sechs Mal zu hacken.
Höhepunkte und Sieger des Wettbewerbs
- Team Viettel führte, für ein Preisgeld von knapp 38.000 Euro, einen Single-Bug-Angriff gegen das Xiaomi 13 Pro durch.
- Team Binary Factory führte einen Stack-basierten Buffer-Overflow-Angriff gegen Synology BC500 aus und gewann ein Preisgeld von etwa 28.000 Euro.
- Team Pentest Limited griff mit einer 2-Bug-Chain die WD My Cloud Pro Series PR4100 an und erhielt knapp 37.000 Euro Preisgeld.
- Nguyen Quoc Viet wurde für einen Stack-basierten Buffer-Overflow-Angriff gegen den HP Color Laserjet Pro MFP mit ca. 18.000 Euro belohnt.
- Team Synacktiv führte einen Heap-basierten Buffer-Overflow gegen die Wyze Cam v3 für ein Preisgeld von 14.000 Euro aus.
Der Gesamtsieger als „Master of Pwn“ wurde das Team Viettel. Die fünf besten Teilnehmer wurden mit diesen Preisgeldern belohnt:
- Team Viettel (30 Punkte) – 180.000 US-Dollar
- Team Orca (Sea Security) (17,25 Punkte) – ca. 116.000 USD
- DEVCORE Intern und Interrupt Labs (beide 10 Punkte) – je 50.000 USD
- Chris Anastasio (9 Punkte) – 100.000 USD
- Pentest Ltd. (9 Punkte) – 90.000 USD
„Trend Micros Zero Day Initiative deckt Cyberrisiken auf, noch bevor eine Ausnutzung überhaupt in Betracht gezogen werden kann“, sagt Kevin Simzer, COO bei Trend Micro. „Wir sind sehr stolz darauf, dass wir gemeinsam mit unseren Sponsoren Google und Synology durch unsere Veranstaltung die Sicherheitsstandards für die gesamte Branche anheben. Wir sind uns alle einig, dass dieser proaktive Ansatz entscheidend ist, um den Cyberkriminellen weiterhin einen Schritt voraus zu sein.“
Pwn2Own fand zum sechzehnten Mal vom 24. bis 27. Oktober 2023 in Toronto, Kanada statt. Der nächste Pwn2Own-Wettbewerb, speziell für die Automobilbranche, findet im Januar 2024 in Tokio statt und der nächste reguläre Pwn2Own wird im März 2024 in Vancouver ausgetragen.
Mehr bei Trend Micro unter ZeroDayInitiative.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..