Bemerkenswerte 90 % der Hacking-Versuche waren erfolgreich

Das Finale des ethischen Hacking-Battles von Pwn2Own ist mit den letzten Events, die am 08. April durchgeführt wurden, endgültig vorbei. Die Ergebnisse teilten sich auf 50 % vollständiger Erfolg und die restlichen 50 % waren Teilgewinne. Die Veranstaltung begann großartig um 09:00 Uhr morgens, als Benjamin McBride 40000 US-Dollar für die Ausführung von Code auf dem Host-Betriebssystem von Parallels Desktop aus gewann.

Bild: Zeroday-Initiative

Die nächsten vier Events in Richtung Microsoft Exchange, Ubuntu Desktop, Windows 10 und Parallels Desktop wurden wegen all der in diesen vier Events verwendeten Methoden als Teilerfolg bezeichnet und der gemeldete Fehler war den jeweiligen Organisationen bereits bekannt. Hier wurden keine Geldpreise vergeben, aber die Gewinner erhielten Punkte für den Master of PWN. Das wichtigste Highlight dieser Veranstaltungen war Alisa Esage, die als erste Frau als unabhängige Forscherin teilnahm und Parallels Desktop in der Kategorie Virtualisierung ins Visier nahm.

Bild mit freundlicher Genehmigung: Twitter

Die letzten drei Events für Ubuntu Desktop, Parallels Desktop und Windows 10 Desktop waren alle erfolgreich und wurden mit Geldpreisen ausgezeichnet. Vincent Dehors forderte 30.000 US-Dollar, um durch einen doppelten Fehler zum Stamm des Ubuntu-Desktops zu eskalieren. Der nächste Preis in Höhe von 40.000 US-Dollar wurde von Da Lao beansprucht, der über OOB Write in Parallels Desktop Gast zum Hosten absolvierte. Der letzte Sieg des Tages und des Turniers wurde von Marcin Wiazowski erzielt, der einen satten Betrag von 40.000 US-Dollar gewann, nachdem er einen UAF-Fehler verwendet hatte, um Systemzugriff auf einem Windows 10-PC zu erhalten.

Die gesamte Veranstaltung wurde von VMware und anderen Partnern gesponsert, darunter Adobe, Zoom und Tesla. Die Anbieter der Veranstaltung haben 90 Tage Zeit, um einen Fix für die gemeldeten Schwachstellen zu erstellen. Hier ist ein zusammenfassender Bericht aller drei Tage, falls Sie ihn verpasst haben.

Ein Blick auf die obige Tabelle würde Ihnen sagen, dass von den 23 geplanten Veranstaltungen nur 2 fehlschlugen, da das Team die Aufgabe nicht in der vorgegebenen Zeit abschließen konnte und mit 5 Partials 16 Veranstaltungen ein voller Erfolg waren. Die 5 Teilerfolge wurden so genannt, weil die verwendete Methode bzw. der verwendete Bug bereits vor dem Contest bekannt war.

Für vollständige Ergebnisse und weitere Details klicken Sie hier

Der Grund zur Besorgnis ist, dass, wenn Sie die tatsächliche Gesamtzahl der Erfolge zählen, diese 21 von 23 beträgt, was 91% Erfolg (einschließlich Teilgewinne) entspricht. Dies bringt uns einen ernsthaften Gedanken in den Sinn: „Sind die Betriebssysteme und Software, die wir verwenden, so anfällig für Hacker?“ Ich überlasse es Ihnen, darüber nachzudenken und darüber nachzudenken, und teilen Sie Ihre Kommentare bitte im folgenden Abschnitt mit.