Für Autohersteller wie Tesla war der diesjährige Pwn2Own-Automotive-Wettbewerb ein Debakel. Schließlich haben die teilnehmenden Teams zahlreiche Schwachstellen erfolgreich ausgenutzt und unter anderem „Doom“ auf einer Ladestation gezockt.

Hintergründe

Bei Pwn2Own-Wettbewerben treffen Sicherheitsforscher auf Computer, Technik und Autos, um diese zu knacken. Klappt das, gibt es ein Preisgeld und im besten Fall liefern die betroffenen Hersteller zügig Sicherheitspatches aus. Nach dem Pwn2Own Automotive 2026 haben sie auf jeden Fall viel zu tun. Insgesamt haben die Teilnehmer 76 Zero-Day-Sicherheitslücken aufgedeckt. So bezeichnet man Software-Schwachstellen, für die es noch kein Sicherheitsupdate gibt. Ob mittlerweile Patches erschienen sind, ist bislang nicht bekannt.

Den Wettbewerb veranstaltet Trend Micros Zero Day Initiative. In ihrem Blog haben sie die Ergebnisse zusammengetragen.

Erfolgreiche Attacken

Die Veranstalter geben an, insgesamt knapp über 1 Million US-Dollar Preisgeld ausgeschüttet zu haben. Auf Platz 1 in der Gesamtwertung hat es das Team Fuzzware.io geschafft. Das hat ihm 215.000 US-Dollar eingebracht. Dafür haben sie unter anderem die Ladestation ChargePoint Home Flex (CPH50-K) erfolgreich attackiert.

Bereits am ersten Tag des Wettbewerbs musste Teslas Infotainmentsystem dran glauben. Das Team Synacktiv hat zwei Sicherheitslücken miteinander kombiniert, um über eine USB-basierte Attacke einen Speicherfehler auszulösen. Ein derartiger Zustand ist oft die Basis für das Ausführen von Schadcode.

Will it run „Doom“?

Mehrere Sicherheitsforscher haben sich die Ladestation Alpitronic HYC50 vorgenommen und am Ende lief darauf der Ego-Shooter „Doom“. Dafür gab es 20.000 US-Dollar. Aus Sicherheitsgründen gibt es zum jetzigen Zeitpunkt keine weiterführenden Details über die im Wettbewerb ausgenutzten Sicherheitslücken. Bleibt zu hoffen, dass die Auto- und Ladesäulenhersteller schnell reagieren und zeitnah Sicherheitspatches veröffentlichen.

(des)

Angreifer können an einer Lücke in IBM Db2 Big SQL ansetzen. Eine dagegen abgesicherte Version steht zum Download bereit.

Kritische Schwachstelle

Laut der Beschreibung der Lücke in einer Warnmeldung können Angreifer im Zuge einer HTTP-Parameter-Pollution-Attacke (HPP) Systeme über präparierte Anfragen attackieren. Die Auswirkungen solcher Attacken variieren. Oft sind unberechtigte Datenzugriffe möglich.

Derzeit gibt es keine Hinweise darauf, dass Angreifer die „kritische“ Lücke (CVE-2025-7783) ausnutzen. Admins sollten sicherstellen, dass die gepatchte Ausgabe IBM Db2 Big SQL 8.2.1 oder IBM Cloud Pak for Data 5.2.1 installiert ist.

(des)

Microsoft hat am Wochenende mehrere Windows-Updates veröffentlicht. Sie beheben teils Probleme mit den Sicherheitspatches vom Januar-Patchday. Außerdem beginnt Microsoft, die im Juni ablaufenden Boot-Zertifikate von Windows mit eigenen Updates auszutauschen. Dabei untersucht der Hersteller nun neu auftretende Probleme.

Microsoft hat ein Update außer der Reihe veröffentlicht, das Probleme mit nicht mehr reagierenden Anwendungen nach der Installation der Januar-Patches lösen soll. „Nach der Installation des Windows-Updates, das am und nach dem 13. Januar 2026 veröffentlicht wurde, reagierten einige Anwendungen nicht mehr oder sind beim Öffnen von Dateien aus oder Speichern von Dateien in cloudbasiertem Speicher wie OneDrive oder Dropbox zu unerwarteten Fehlern aufgetreten“, erklärt Microsoft zu den damit korrigierten Fehlern. Außerdem führte das Update zu hängendem Outlook, wenn dessen PST-Dateien auf OneDrive gespeichert waren.

Im Windows-Release-Health-Nachrichtenzentrum schreibt Microsoft weiter, dass das Update für viele Versionen verfügbar und kumulativ ist, also die Sicherheitskorrekturen des Januar-Updates enthält: Windows 11 25H2 und 24H2 (KB5078127), Windows 11 Enterprise 25H2 und 24H2 (Hotpatch KB5078167), Windows 11 23H2 (KB5078132), Windows 10 ESU (22H2) und Enterprise LTSC 2021 (KB5078129), Windows Server 2025 (KB5078135), Windows Server 2025 Datacenter: Azure Edition (Hotpatch KB5078239), Windows Server 23H2 (KB5078133), Windows Server 2022 (KB5078136), Windows Server 2022 Datacenter: Azure Edition (Hotpatch KB5078238) und Windows Server 2019 sowie Windows 10 Enterprise LTSC 2019 (KB5078131).

Neue Secure-Boot-Zertifikate

Microsoft hat zudem damit begonnen, zum Austausch der Secure-Boot-Zertifikate eigene Windows-Updates zu verteilen. So kommt es möglicherweise zu unerwarteten Neustart-Aufforderungen.

Offenbar tauscht Microsoft zunächst nur eines von vier Zertifikaten aus, den Schlüsselregistrierungsschlüssel (KEK, Key Exchange Key). Das Zertifikat „Microsoft Corporation KEK CA 2011“ wird dabei durch „Microsoft Corporation KEK 2K CA 2023“ ersetzt. Es dient zum Signieren von DB (Datenbank erlaubter Signaturen) und DBX (Datenbank verbotener Signaturen). Bereits im vergangenen Juni hatte Microsoft die Öffentlichkeit gesucht, um Admins auf den anstehenden Zertifikatstausch für die in diesem Juni ablaufenden Secure-Boot-Zertifikate vorzubereiten – jetzt geht es also los.

Derweil untersucht Microsoft Probleme mit nicht mehr startenden Rechnern, die nach Installation der Januar-Patches die Fehlermeldung „UNMOUNTABLE_BOOT_VOLUME“ anzeigen. Das haben Admins aus Microsofts Nachrichtencenter auf Reddit gepostet. Betroffen sind Windows 11 25H2 und 24H2. Da das Problem jedoch nach Installation der Januar-Patches vom 13.01.2026 auftreten kann, steht es offenbar nicht im Zusammenhang mit den nun aktualisierten Secure-Boot-Zertifikaten.

(dmk)