Hacker erzielen so gut wie 1 Million US-Dollar beim geräteorientierten Pwn2Own-Wettbewerb
[ad_1]
Sicherheitsforscher und Hacker demonstrierten 63 Zero-Day-Schwachstellen in beliebten Geräten im Rahmen jener neuesten Pwn2Own, die Printer von Canon, HP und Lexmark sowie Router und Netzwerkspeichergeräte von Synology und Netgear ausnutzten.
Laut jener Zero Day Initiative (ZDI) von Trend Micro, die den Wettbewerb letzte Woche organisierte, brachte die Sammlung von Schwachstellen den offensiven Cybersicherheitsspezialisten, die an dem Wettbewerb teilnahmen, 989.750 US-Dollar ein. Während wenige Angriffe eine Schlange von Exploits miteinander verketteten, um die Test oberhalb die Remote-Geräte zu übernehmen, darunter einer, jener fünf Schwachstellen ausnutzte, fanden andere eine einzelne Sicherheitslücke, hinauf die sie abzielen konnten, wie dasjenige Team von Pentest Limited, dasjenige vereinen zuverlässigen Ein-Klick-Exploit im Samsung Galaxy S22-Handy, dasjenige weniger qua eine Minute zum Offensive benötigte.
Dieser Samsung-Exploit hat spürbar gemacht, dass es da im Freien erhebliche Schwachstellen zu finden gibt, sagt Dustin Child, Head of Threat Awareness im Rahmen jener Zero Day Initiative von Trend Micro.
„Klicken Sie wie geschmiert hinauf vereinen Link hinauf einem betroffenen Gerät und Sie werden Eigentümer“, sagt er. “Es ist unter ferner liefen ein sehr zuverlässiger Fehler. Sehr beeindruckende Recherche und eine ziemlich effektive Demonstration, warum dasjenige Klicken hinauf unbekannte Sinister gefährlich sein kann.”
Schwerpunkt hinauf IoT und Mobile
Pwn2Own begann 2007 qua jährlicher Wettbewerb im Zusammenhang mit jener jährlichen CanSecWest-Kongress, hat sich im Kontrast dazu seitdem in zwei Wettbewerbe verzweigt: einer konzentrierte sich hinauf Computerbetriebssysteme und -anwendungen und jener andere – einschließlich des neuesten Wettbewerbs – hinauf Geräte und dasjenige WWW von Pipapo.
In den vier Tagen des Wettbewerbs entdeckten offensive Cybersicherheitsspezialisten eine beträchtliche Quantität von Schwachstellen in Druckern und Routern großer Marken, im Kontrast dazu unter ferner liefen präzise in Bluetooth-Lautsprechern und Netzwerkspeichern, so ZDI in einer Zusammenfassung jener Wettbewerbsergebnisse.
Da viele jener Geräte x-fach von kleinen und mittleren Unternehmen (KMU) verwendet werden, sollten Unternehmen die Ergebnisse des Wettbewerbs qua Warnung verstehen, sagt Child.
„Wenn gar, sollten KMU verstehen, dass ihre Geräte zwar dasjenige Gefühl nach sich ziehen, nicht weithin genug zu sein, um ein Ziel zu sein, im Kontrast dazu ihre Geräte von Angreifern angegriffen werden können und werden“, sagt er. “Unter [this] Manchmal versuchen die Angreifer nur, Knoten zu ihrem Botnet hinzuzufügen, im Kontrast dazu unabhängig von jener Zweck können die Geräte, hinauf die wir uns geschäftlich verlassen, kompromittiert werden, wenn sie nicht geschützt werden.”
Pufferüberläufe schleichen sich weiter ein
Leider ist eine jener Klassen von Sicherheitslücken, die Angreifern weiterhin ein fruchtbares Angriffsfeld darstellt, Sicherheitslücken im RAM, wie z. B. Pufferüberläufe. Während große Softwareunternehmen damit begonnen nach sich ziehen, speichersichere Programmiersprachen zu verwenden, um speicherbezogene Probleme zu vermeiden, hinken viele Gerätehersteller immer noch zurückblickend.
Viele jener Schwachstellen, die während des Wettbewerbs entdeckt wurden, waren Pufferüberläufe, sagt Child.
„Sie Form jener Speicherbeschädigung ist seither einiger Zeit namhaft, von dort waren wir irgendetwas überrascht, dass sie immer noch in mehreren Geräten verbreitet ist“, sagt er.
Zu den Geräten, die am meisten ins Visier genommen wurden, gehörten Printer, wodurch Lexmark-, HP- und Canon-Printer zu den Favoriten jener Teilnehmer gehörten. Obwohl Router unter ferner liefen vereinen erheblichen Proportion jener Zielgeräte ausmachten, hätten sie in diesem Jahr mehr riskanter Substanzkonsum erlebt, wenn nicht Last-Minute-Patches von Netgear und TP-Link gezielte Schwachstellen beseitigt hätten und Konkurrenten gezwungen hätten, sich aus jener Rivalität zurückzuziehen, sagt Child.
Spielen des Mario-Designs hinauf einem Lexmark
Manche jener Printer-Exploits zeigten zusätzliche Kreativität. In jener Vergangenheit begnügten sich Hacker damit, ein System auszunutzen und es zu zwingen, Microsoft Paint auszuführen oder eine Taschenrechneranwendung aufzurufen, um ihr Potenzial zur Darlegung beliebigen Codes zu vorexerzieren. Im neuesten Pwn2Own zeigten erfolgreiche Hacker jedoch Pokemon oder eine andere Anime-Geometrische Figur hinauf dem kleinen Druckersteuerungsdisplay.
Am beeindruckendsten ist vielleicht, dass dasjenige Horizon3-KI-Team den Systemwarnton hinauf einem Lexmark-Printer verwendet hat, um dasjenige Themenbereich von Mario abzuspielen, obwohl dasjenige Gerät solche Systemfunktionalität nicht hat.
„Da jener Printer keinen Lautsprecher hat, hatten wir nicht damit gerechnet, dass er ein Song spielt, im Kontrast dazu sie nach sich ziehen die Schwingungszahl des Signaltons moduliert, um die Musikfunktion hinzuzufügen“, sagt Child.
Dieser Datenverwaltungsanbieter Synology und jener Online-Titan Google nach sich ziehen den Wettbewerb verbinden gesponsert.