Pwnie Awards: Epische Jailbreaks und One-Click-Exploits

Sicherheitsforscher freuen sich über den Hacker-Oscar, Microsoft & Co. fürchten sich vor der negativen Variante der Auszeichnung.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 2 Min.

Die Pwnie Awards ehren oder diskreditieren die Ausgezeichneten in verschiedenen Kategorien. Auf der Hacker-Konferenz Black Hat Europe 2020 wurden nun die Gewinner verkündigt.

Der Preis im Bereich "Best Server-Side Bug" geht an den Sicherheitsforscher Ronald Huizer für seine Ausführungen zur BraveStarr-Lücke. In dieser Kategorie geht es um meist als kritisch eingestufte Schwachstellen, die sich aus der Ferne und ohne Interaktion des Opfers ausnutzen lassen. Oft bringen solche Attacken Schadcode auf Systeme. In diesem Fall steht eine Schwachstelle (CVE-2020-10188) im Telnetd-Daemon im Rampenlicht, die Telnet-Verbindungen gefährdet. Davon sind unter anderem Produkte von Cisco betroffen.

Der Sicherheitsforscher mit dem Pseudonym axi0mX kann sich mit der Auszeichnung für den "Best Privilege Escalation Bug" schmücken. Der checkm8 getaufte Jailbreak für iOS-Geräte setzt an einer unpatchbaren USB-Bootrom-Lücke an. Darüber kann man beispielsweise die iPhones 4S bis einschließlich X entsperren.

Ein One-Click-Exploit zum kompromittieren von Android auf Pixel-Geräten erntete die "Epic Achievment"-Auszeichnung.

Die Auszeichnung für "Best Cryptographic Attack" geht an Tom Tervoort für seine Arbeit zur Zerologon-Schwachstelle (CVE-2020-1472) in Windows Server. Entfernte Angreifer ohne Authentifizierung könnten über das Netlogon Remote Protocol (MS-NRPC) an Fehlern in der AES-CFB8-Verschlüsselung ansetzen und sich mit einem Domänencontroller verbinden. Auf diesem Weg könnten beispielsweise Admin-Zugangsdaten leaken.

Einer der Negativ-Preise geht an Microsoft, die bei der Implementierung von elliptischen Kurven in verschiedenen Windows-Server-Versionen geschlampt (CVE-2020-0601) haben. Durch ein erfolgreiches Ausnutzen könnten Angreifer beispielsweise Verbindungen zu HTTPS-Websites belauschen. Die Schwachstelle hat die NSA an Microsoft gemeldet.

Die weiteren Auszeichnungen sind auf der Website der Pwnie Awards aufgelistet.

(des)