Pwn2Own Sicherheitslücken: HP-Laser spielt Hard-Rock
Bereits seit 2007 existiert mit Pwn2Own ein Wettbewerb von der Zero-Day-Initiative zum Aufspüren von Sicherheitslücken. Zur Motivation gibt es "Pwn"-Punkte und Preisgelder, die von Sponsoren gestiftet werden. Erstmalig gab es 2021 die Kategorie "Drucker".
HP Color Laserjet Pro MFP M283fdw
Spektakulär ist der Hack des HP-Farblasers Color Laserjet Pro MFP M283fdw, der erst im Frühjahr 2020 auf dem Markt kam.
Dem Team von "F-Secure Labs" unter Alexander Bolshev, Timo Hirvonen und Dmitry Janushkevich ist es dabei gelungen, den Drucker zum Abspielen von Musik zu bringen.
In der Präsentation wurde dabei das Stück "Thunderstruck" von der australischen Hard-Rock-Kapelle "AC/DC" gespielt.
Um auf den Drucker zugreifen zu können, wurde dabei ein "single stack-based buffer overflow" (Pufferüberlauf) ausgenutzt. Das Team hat für den Hack ein Preisgeld von 20.000 US$ sowie zwei "Pwn-Punkte" erhalten.
Canon Imageclass MF644Cdw
Ebenfalls war das "Synacktiv"-Team bei der Übernahme eines "Canon Imageclass MF644Cdw", der in Deutschland als i-Sensys MF643Cdw erhältlich ist.
Durch einen Pufferüberlauf gelangten die Hacker an den Zugriff über das Laser-Multifunktionsmodell. Auch hierfür gab es ein Preisgeld von 20.000 US$ sowie zwei "Pwn-Punkte".