Beim renommierten Hacking-Wettbewerb Pwn2Own Berlin 2024 haben Sicherheitsforscher 28 bisher unbekannte Schwachstellen in geschäftskritischen Systemen aufgedeckt. Die Teilnehmer erhielten Prämien in Höhe von insgesamt 1.078.750 US-Dollar, wobei bemerkenswerte sieben Schwachstellen in KI-Systemen identifiziert wurden.
Breites Spektrum getesteter Technologien
Die Wettbewerbskategorien umfassten ein vielfältiges Portfolio an Unternehmenstechnologien, darunter KI-Systeme, Webbrowser, Virtualisierungslösungen und Cloud-Infrastrukturen. Besonders interessant war die Automotive-Kategorie, in der Tesla seine neuesten Modelle Y 2025 und Model 3 2024 zur Verfügung stellte. Allerdings meldete sich kein Teilnehmer für Sicherheitstests an den Tesla-Fahrzeugen an.
Bedeutende Erfolge und Entdeckungen
Am ersten Wettkampftag gelangen wichtige Durchbrüche bei der Identifizierung von Schwachstellen in Windows 11, Red Hat Linux und Oracle VirtualBox. Das Summoning Team sicherte sich 35.000 Dollar für eine Schwachstelle in Chroma, während STAR Labs SG für die Entdeckung einer kritischen Sicherheitslücke in Docker Desktop mit 60.000 Dollar belohnt wurde.
Herausragende Leistungen und Preisgelder
Der zweite Tag brachte den Teilnehmern weitere 435.000 Dollar für aufgedeckte Schwachstellen in Microsoft SharePoint und VMware ESXi ein. Das Team von Wiz Research demonstrierte erfolgreich die Ausnutzung einer Use-After-Free-Schwachstelle in Redis, was die Vielfalt der entdeckten Sicherheitslücken unterstreicht.
Sieger und bedeutende Errungenschaften
STAR Labs SG dominierte den Wettbewerb mit 35 Master of Pwn-Punkten und einem Preisgeld von 320.000 Dollar. Der Sicherheitsforscher Nguyen Hoang Thach von STAR Labs SG erhielt die höchste Einzelprämie von 150.000 Dollar für die erfolgreiche Exploitation einer Schwachstelle in VMware ESXi.
Die entdeckten Schwachstellen werden nun an die jeweiligen Hersteller weitergeleitet, die 90 Tage Zeit haben, Sicherheitsupdates zu entwickeln. Nach Ablauf dieser Frist wird TrendMicro’s Zero Day Initiative detaillierte Informationen zu den Schwachstellen veröffentlichen. Diese Erkenntnisse werden Sicherheitsexperten dabei unterstützen, ihre Systeme effektiver gegen potenzielle Bedrohungen zu schützen und unterstreichen die wichtige Rolle von Bug-Bounty-Programmen in der modernen Cybersicherheitslandschaft.
