Beim Hackerwettbewerb Pwn2own drehte sich in diesem Jahr fast alles um die Coronapandemie. Gehackt wurden dabei nicht nur das Videokonferenzsystem Zoom, sondern auch Betriebssysteme wie Windows 10 von Microsoft und Googles Browser Chrome. Der Wettbewerb wird von der Zero Day Initiative (ZDI) durchgeführt.
Der Zoom-Hack
Daan Keuper und Thijs Alkemade schafften es, auf einem Rechner mit dem Videokonferenzsystem Zoom Schadcode aus der Ferne auszuführen – und zwar ohne jede Benutzerinteraktion.
Zu dem Zweck kombinierten sie gleich drei neue Sicherheitslücken in der Videokonferenzlösung. Weil die Lücken bisher noch nicht geschlossen wurden, gibt es auch noch keine weiteren technischen Details zu den Zero Days.
Allerdings wird in einer Animation des Angriffs gezeigt, dass die Sicherheitsforscher dabei das Taschenrechnerprogramm auf dem angegriffenen Rechner öffneten. Der Angriff soll unter Windows und unter MacOS funktionieren, auf den Mobilbetriebssystemen iOS und Android wurde er noch nicht getestet. Dafür erhielten die beiden Sicherheitsforscher 200.000 US-Dollar Preisgeld.
Nach einem Statement des Zoom-Herstellers muss der Angriff “von einem akzeptierten externen Kontakt ausgehen oder Teil des gleichen Organisationskontos des Ziels sein” und an einem Patch werde schon gearbeitet. “Als Best Practice empfiehlt Zoom allen Nutzern, nur Kontaktanfragen von Personen zu akzeptieren, die sie kennen und denen sie vertrauen.”
Weitere Software mit Schwachstellen
Auch in der Virtualisierungssoftware Parallels Desktop, in Microsofts Exchange Server und mehreren anderen Programmen wurden ebenfalls Sicherheitslücken gefunden. Eine Übersicht dazu finden Sie auf der Webseite der Zero Day Initiative. Alle bei dem Wettbewerb gefundenen Sicherheitslücken werden an die Hersteller gemeldet, die sie sie innerhalb von 90 Tagen beheben müssen, wenn sie nicht wollen, dass die Schwachstellen öffentlich gemacht werden.
