Pwn2Own 2018 hacker wedstrijd: Firefox en Safari gekraakt op dag 2
Op de jaarlijkse hacker-wedstrijd Pwn2Own, waar beveiligingsonderzoekers kunnen proberen om browsers en andere software te kraken, zijn op dag 1 lekken in browsers Safari en Edge en virtualisatie-software VirtualBox uitgebuit. Op dag 2 gingen wederom Safari en Firefox voor de bijl. Andere browsers werden niet aangevallen.
Safari werd in totaal tijdens Pwn2Own 2 keer succesvol overgenomen door deelnemende onderzoekers. Twee andere pogingen om Safari te hacken mislukte. Ook Edge werd 1 keer met succes aangevallen. Een poging om VirtualBox te kraken was gedeeltelijk succesvol. Ten slotte werd Firefox gehackt op de laatste dag van de wedstrijd, waarbij ook gebruik werd gemaakt van een kwetsbaarheid in de Windows Kernel.
De Pwn2Own-wedstrijd vond in 2018 op 14 en 15 maart plaats in Vancouver onder auspiciën van het Zero Day Initiative van TrendMicro. Verschillende beveiligingsonderzoekers van diverse bedrijven en organisaties probeerden lekken te vinden in software.
Dit jaar waren er niet zoveel hackpogingen als anders. Alleen Safari, Edge, Firefox en VirtualBox werden onder vuur genomen. Google Chrome en Flash bijvoorbeeld werden niet aangevallen. Volgens de organisatie hebben veel andere onderzoekers zich op het laatste moment teruggetrokken - deels omdat dinsdag nog de nodige updates verschenen voor onder andere Windows, Edge, Flash en Google Chrome. Hierdoor werden blijkbaar lekken gedicht die sommige deelnemers wilden gebruiken voor hun aanvallen.
De volgende software werd op Pwn2Own 2018 gekraakt:
Safari (2x succesvol, 2x mislukt)
Edge (1x)
Firefox (1x)
VirtualBox (1x gedeeltelijk)
De komende weken zullen er weer beveiligingsupdates verschijnen om de gevonden lekken te dichten. Apple heeft vijf lekken dicht te plakken, Microsoft vier (aanvallen op Firefox en VirtualBox maakten ook gebruik van lekken in Windows), Oracle (VirtualBox) twee en Mozilla (Firefox) 1 lek.
Update 16 maart
Firefox 59.0.1 heeft inmiddels het lek alweer dichtgeplakt.
Pwn2Own is een jaarlijks terugkerend evenement, tegenwoordig georganiseerd door TrendMicro, waar de beveiliging van browsers, besturingssystemen en plugins wordt getest door verschillende beveiligingsonderzoekers. Voor het vinden van lekken (die aan de producenten gemeld worden) krijgen de hackers forse beloningen.
Reageer