Der Wettbewerb Pwn2own fand in diesem Jahr zum 15. Mal statt. Ursprünglich diente er als Beweiserbringer, dass auch Apple-Geräte hackbar sind. Später begannen Sicherheitsfirmen und Konzerne, Preisgelder auszuloben. So auch dieses Jahr: Insgesamt über eine Million US-Dollar flossen für gezeigte Exploits. Die Sicherheitsforscher legten über 60 Zero-Day-Sicherheitslücken in vier Wettbewerben offen. Sie übernahmen dabei komplett Windows 10, Microsoft Teams, Microsoft Exchange, Ubuntu Desktop, Google Chrome, Safari und Parallels Desktop. Doch auch viele Geräte fielen unter ihre Kontrolle: Drucker, Router, NAS-Geräte sowie Lautsprecher. Gleich auf zwei verschiedene Arten wurde das aktuelle Samsung Galaxy S21 gekapert. Google und Samsung haben mittlerweile reagiert und Sicherheitsupdates bereitgestellt.
Laser-Drucker spielt Thunderstruck von ACDC
Das Team von F-Secure Labs schaffte es, einen HP-Farblaserdrucker zur Jukebox umzuwandeln. Es nutzte einen stack-basierten Pufferüberlauf, um die Kontrolle über das Gerät zu übernehmen, und ließ es Thunderstruck von ACDC abspielen. Einen Preis konnten sie damit nicht erhalten, die genutzte Schwachstelle kannte der Hersteller bereits – andere hatten sie Hewlett Packard schon verraten. Die Siegergruppe heißt Synacktiv und stammt aus Frankreich. Sie ließen Ninjas auf einem Lexmark-Drucker-Display auftauchen und hackten sich in zwei Router sowie ein NAS-System. Das brachte ihnen 20 Punkte und 197.500 Dollar Preisgeld ein.
23 Hacking-Versuche im Livestream
Die Veranstaltung fand in Austin im US-Bundesstaat Texas statt und wurde in alle Welt gestreamt. Zusammenfassungen auf Youtube und der Website zeigen die Erfolge der drei Tage in voller Länge. Parallel kann man sich auf einem Blogeintrag der Zero-Day-Initiative über die 23 Hacking-Versuche informieren.