Pwnie Awards 2023: Blinkende LEDs, Zero-Days und Datenpannen

Die Verleihung der Pwnie Awards ist seit Jahren ein fester Programmpunkt der Black Hat-Sicherheitskonferenz in Las Vegas. Auch in diesem Jahr zeichnete die Jury herausragende Hacker-Leistungen in verschiedenen Kategorien aus. Die Pwnies sind Hacker-Oscars und Goldene Himbeeren zugleich: Security-Fails und unprofessionelle Hersteller-Reaktionen auf Sicherheitslücken wurden wie gewohnt mit Negativpreisen bedacht.

Kritische Lückenfunde und coole Forschungsarbeiten

Den Preis für den besten Remote Code Execution (RCE)-Bug heimste der Sicherheitsforscher Simon Scannell ein. Die von ihm entdeckte kritische Lücke CVE-2023-20032 (CVSS-Core 9.8 von 10) in der AV-Software ClamAV hätte von entfernten Angreifern ohne Authentifizierung missbraucht werden können, um beliebigen Schadcode auf Systeme zu befördern und ihn dort mit den Privilegien des Virenscanprozesses auszuführen. Auch das Provozieren eines Denial-of-Service-Zustands wäre möglich gewesen. Da der ClamAV-Code quelloffen ist, betraf die Sicherheitslücke indirekt zahlreiche Drittanbieter-Produkte – etwa von Cisco.

Ein Pwnie für den besten kryptografischen Angriff ging an Ben Nassi von der Ben-Gurion University. Der Forscher demonstrierte unter anderem im Rahmen eines Vortrags auf der Black Hat-Konferenz, wie Power-LEDs an Geräten geheime Schlüssel preisgeben können. Er fand heraus, dass der CPU-Bedarf verschiedener kryptografischer Berechnungen die Helligkeit und Farbe der LEDs beeinflussen. Auf dieser Basis sind Angriffe per Videoaufzeichnung und -analyse, etwa mittels Handy- oder Überwachungskameras, durchführbar.

Nassi experimentiert bereits seit längerer Zeit erfolgreich mit videobasierter Kryptoanalyse. 2020 gelang es ihm und seinem Team, feinste Lichtschwankungen hängender Deckenlampen in Geräusche und Gespräche im betreffenden Raum rückzuübersetzen.

Ebenfalls Pwnie-würdig im positiven Sinne: die Leistung von Clement Lecigne. Den für Googles Threat Analysis Group tätigen Sicherheitsforscher ehrte die Jury als "0-days hunter world champion". Er habe in der Vergangenheit dutzende 0-Day-Lücken in freier Wildbahn entdeckt und "verbrannt", also publik gemacht, bevor Bösewichte diese ausnutzen konnten.

Negativ-Pwnies für mangelnde Professionalität

Als "Most Epic Fail" würdigte die Pwnie-Jury einen Vorfall, der Anfang 2023 bekannt wurde. Eine Schweizer Hackerin hatte damals auf einem ungesicherten Testserver der US-Fluglinie CommuteAir eine vertrauliche Flugverbotsliste des FBI entdeckt. Diese umfasste 1,5 Millionen Namen und Geburtsdaten von Personen, die bei jedem Flug umfangreiche Sicherheitskontrollen durchlaufen müssen.

Ein weiterer Negativpreis ging an das Team des Instant-Messaging-Diensts Threema. Auf Sicherheitslückenhinweise durch Forscher der Eidgenössischen Technischen Hochschule Zürich reagierte es mit einem Blogpost auf der Threema-Website, der die Hinweise nach Meinung der Pwnie-Jury wohl recht schroff zerpflückte und abwiegelte. Das Pwnie-Team bezeichnete diese Reaktion als "blog post of butthurt" (etwa "schwer beleidigter Blogpost").

Eine knappe Übersicht über die hier genannten sowie alle weiteren Auszeichnungen liefert eine kürzlich veröffentlichte Liste der Pwnie Award-Gewinner 2023.

(tiw)