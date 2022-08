Die Verleihung der sogenannten Pwnie Awards wird unter Security-Experten jedes Jahr bei der Hacker-Konferenz Black Hat in Las Vegas mit Spannung erwartet. Die Veranstalter brachten in diesem Jahr drei neue Kategorien auf die Bühne: Best Mobile Bug, Best Desktop Bug und Best Remote Code Execution.

NSO Group unter den Gewinnern

Den Preis für die erste neue Kategorie erhielt die NSO Group aus Israel. Ihr Mobile Bug "ForcedEntry" ermöglicht einen iMessage-Null-Klick-Angriff für die berüchtigte Pegasus-Spyware, indem er Apples "BlastDoor"-Sandboxmechanismus umgeht, der in iOS 14 zur Abwehr eines weiteren Zero-Click-Exploits eingeführt wurde.

Zunächst ein wenig geheimnisvoll klang eine der drei Nominierungen für den Best Desktop Bug, der Forschern verliehen wird, die den technisch anspruchsvollsten und interessantesten Desktop-Exploit entdeckt haben. So funktioniert laut Twitterankündigung dieser Kandidat "auf den neuesten CPUs eines der großen CPU-Hersteller und ermöglicht Angriffe auf Trusted Execution Environments".

Bei der Preisverleihung enthüllten die Veranstalter, dass sich dahinter das zwischenzeitlich bekannt gewordene gravierende AEPIC-Leak verbarg, das letztlich auch das Rennen in dieser Kategorie machte. Der Bug in der Mikroarchitektur von Intel-Prozessoren ermöglicht es, Daten aus den CPU-Caches und sogar aus vermeintlich sicher geschützten SGX-Enklaven zu lesen.

Windows-RPC-Bug: Je oller, je doller

Den Preis für die beste Remote Code Execution erhielt das Kunlun Lab für die Entdeckung eines bereits 20 Jahre alten Windows-RPC-Bugs. Die entsprechende Schwachstelle (CVE-2022-26809) in einer zentralen Windows-Komponente (RPC) erhielt eine CVSS-Punktzahl von 9.8, da der Angriff keine Authentifizierung erfordert, Codeausführung aus der Ferne sowie unter Umständen den Zugriff auf einen ungepatchten Windows-Host ermöglicht, auf dem SMB läuft. Weitere Details beschreibt ein Microsoft-Dokument, sowie die Veröffentlichung auf GitHub. Microsoft hat CVE-2022-26809 im Rahmen des April-Patchday 2022 behoben.

Ein Preis für IT-Experten mit vielfältigen Talenten ist der "Pwnie for the Best Song". Er ging in diesem Jahr an "Dialed Up", einen Song, der ein Mini-CTF (Capture the Flag) mit zehn Herausforderungen enthält. Für diese Rätsel sind zwar keine Software- oder Binär-Exploitation-Kenntnisse erforderlich, schreiben die Projektbeteiligten, aber einige Herausforderungen lassen sich mit Coding/Scripting doch deutlich einfacher lösen. Details finden sich auf der Projektwebseite.

Das spektakuläre Scheitern einer Person oder eines Unternehmens würdigt der Preis für den "Most Epic Fail". Laut Veranstalter handelt es sich um jene Art des Scheiterns, die die gesamte Sicherheitsbranche in Mitleidenschaft zieht. Erhalten hat ihn in diesem Jahr ein Mitarbeiter der Firma HackerOne. Das Unternehmen betreibt eine Plattform zur Koordinierung von Sicherheitslücken-Veröffentlichungen und deren Behebung (Responsible Disclosure), die Unternehmen mit Bug-Jägern verbindet. Der mit dem Preis "gewürdigte" HackerOne-Mitarbeiter wurde beim privaten Weiterverkauf von gemeldeten Schwachstellen an potenzielle Angreifer erwischt.

Wie verhindert man Terrorbekämpfung? Frag Google!

Den "uncoolsten" Umgang mit einer beziehungsweise mehreren Schwachstelle(n) muss sich in diesem Jahr Google vorwerfen lassen. Sein Top-Security-Team "Google TAG" erhielt den "Lamest Vendor Award", einen Preis, der bei Fans der Pwnie Awards besonders beliebt ist. Durch das Schließen von elf Zero-Day-Schwachstellen torpedierte das Google-Team eine laufende Anti-Terror-Operation westlicher Geheimdienste ("unilaterally shutting down a counterterrorism operation").

Weitere Preise gingen an Forscher der Universitäten UIUC, UT Austin und UW für den Hertzbleed-Seitenkanalangriff (Best Cryptographic Attack), an Forscher der Universität Sapienza in Rom für ihre Custom Processing Unit (Most Innovative Research), an den Sicherheitsexperten Yannayl für IP-Spoofing mit IPIP (Most Under-Hyped Research), an Yuki Chen für mehr als 50 RCE-Bugs im Microsoft-Server (Epic Archievement) und an die Schwachstelle Mystic in the House (CVE 2021-0691), gefunden vom Dawn Security Lab (Best Privilege Escalation).

Für sein Lebenswerk in der Sicherheits-Community wurde Dino Dai Zovi ausgezeichnet. Der Veteran der Informationssicherheitsbranche und Unternehmer ist bekannt durch seine Forschungen und Vorträge auf Konferenzen wie DEFCON, Black Hat und CanSecWest. Außerdem ist er Mitautor diverser Sicherheitsbücher.

Der reich gedeckte Trophäentisch der Pwnie-Awards in Las Vegas 2022. (Bild: Lukas Grundwald)

(ur)