Thuiswerkende hackers kraken Windows 10

De oorspronkelijke editie van de Pwn2Own-hackwedstrijd vond dit jaar niet fysiek plaats in Vancouver (Canada), maar was een remote-event. Dit heeft mededingende hackers en hackteams er niet van weerhouden om hun vondsten en kunnen te demonstreren. Daarbij is Windows 10 op twee verschillende manieren gehackt, door een en dezelfde hackgroep. Team Fluoroacetate, wat vorig jaar al de grote winnaar van Pwn2Own was, heeft nu opnieuw de titel Master of Pwn behaald.

SYSTEM-rechten

Deze eer, plus een flink geldbedrag, is toegekend voor het hacken van Windows 10 langs twee verschillende wegen. Bij de ene zijn 2 kwetsbaarheden gebruikt: één in Adobe Reader en één in de Windows-kernel. Zo wisten de hackers via een malafide PDF-document in te breken op Windows 10. Bij de andere succesvolle aanval is een geheugenbug in Windows 10 benut om het besturingssysteem over te nemen. In beide gevallen hebben de Pwn2Own-mededingers de diepgaande SYSTEM-rechten weten te verkrijgen, vat Forbes samen.

Naast Windows 10 zijn in de hackwedstrijd ook andere veelgebruikte IT-producten kwetsbaar gebleken. Zoals bijvoorbeeld Apple's computerplatform macOS wat is gehackt via de standaard rekenmachine-app in het Mac-besturingssysteem. Hiervoor was een keten van 6 bugs nodig, beginnende bij Mac-browser Safari. Verder zijn op Ubuntu Desktop hogere rechten verkregen, weet ZDnet op te sommen.

Geen video van virtualisatiehack

Ook Oracle's opensourcesoftware voor virtualisatie is gepakt. Video van deze exploit is vooralsnog niet vrijgegeven, want het zien van deze succesvolle hackaanval zou teveel informatie verraden over de gebruikte methode, meldt CyberScoop. De voorwaarden van de Pwn2Own-wedstrijd zijn dat ontdekte kwetsbaarheden worden gemeld aan de betrokken leveranciers die dan tijd hebben om fixes te maken en uit te brengen.

Pwn2Own-organisator Zero Day Initiative (ZDI) heeft de remote gehouden hackwedstrijd ook uitgezonden via YouTube: