Trend Micro gibt die Gewinner seines jüngsten Pwn2Own-Hacking-Wettbewerbs bekannt, der Ende vergangener Woche in Toronto stattfand. Während der Veranstaltung vergab die Zero Day Initiative (ZDI) von Trend Micro Preisgelder im Wert von knapp einer Million Euro für die Entdeckung von 63 Zero-Day-Schwachstellen.
Laut Statista arbeitete über ein Viertel aller Beschäftigten in Deutschland in den vergangenen zwei Jahren zumindest teilweise aus dem Homeoffice. Dies kann jedoch die Angriffsfläche für Unternehmen vergrößern, wenn Heimgeräte wie Router, intelligente Lautsprecher, Drucker und Netzwerkspeicher (NAS) nicht richtig abgesichert sind.
Schwachstellen, die im Rahmen von Pwn2Own und der Zero Day Initiative von Trend Micro aufgedeckt werden, fließen in die Bedrohungsdatenanalyse des Sicherheitsanbieters ein. Zunehmend vernetzte Netzwerke von Privatanwendern und Unternehmen können so besser abgesichert werden. Mehrere Angriffswellen durch Deadbolt-Ransomware, die im Jahr 2022 weltweit NAS-Geräte kompromittiert haben, verdeutlichen das gestiegene Risiko.
Ein ebenso großes Sicherheitsrisiko geht von kompromittierten SOHO-Geräten (Small Office/Home Office) als Ausgangspunkt für laterale Bewegungen innerhalb eines Netzwerks aus. Angreifer können diese nutzen, um Zugriff auf ein mit Unternehmensressourcen verbundenes Gerät zu erlangen.
Aus diesem Grund gab es beim diesjährigen Pwn2Own-Wettbewerb erstmals eine „SOHO Smashup“-Kategorie, bei der Hacker einen WLAN-Router und ein angeschlossenes Gerät kapern mussten. Wenn es den Teilnehmern gelang innerhalb von 30 Minuten die vollständige Kontrolle über beide Geräte zu übernehmen, konnten sie knapp 100.000 Euro Preisgeld und 10 „Master of Pwn“-Punkte gewinnen.
Das zunehmende Bewusstsein für die Risiken, die von SOHO-Geräten ausgehen, zeigt auch der geplante EU Cyber Resilience Act, der neue Mindestanforderungen an die Sicherheit vernetzter Produkte stellen wird. Auch in den USA soll ein neues Sicherheits-Kennzeichnungssystem eingeführt werden.
Der Hacking-Wettbewerb Pwn2Own fand vom 6. bis 8. Dezember 2022 in den Büros von Trend Micro in Toronto statt. Der Gesamtsieger des „Master of Pwn“ war das Team DEVCORE mit 18,5 Punkten und einem Preisgeld von knapp 135.000 Euro.
Die fünf besten Teilnehmer waren: DEVCORE, Team Viettel, NCC Group EDG, STAR Labs und Qrious Secure
„Unsere Verantwortung als Sicherheitsanbieter ist es nicht nur unsere Kunden zu schützen, sondern auch die vernetzte digitale Welt zu einem sichereren Ort zu machen“, sagt Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. „Unser Hacking-Wettbewerb Pwn2Own führte in diesem Jahr zur Aufdeckung einer Reihe neuer Schwachstellen und zeigt gleichzeitig welche wachsenden Sicherheitsrisiken vom Homeoffice ausgehen.“