Il n’y a pas de système d’exploitation, de plate-forme ou de programme sûr. Hier, nous avons vu comment différents groupes de hackers, le premier jour du concours Pwn2Own 2023, ont réussi à exposer la sécurité de Windows, macOS, Ubuntu et Adobe, entre autres. Et aujourd’hui, au deuxième jour de la compétition, d’autres grandes plateformes sont tombées qui vous mettent en danger.
Cette semaine, le concours de hackers a lieu Pwn2Own 2023, un concours qui se déroule à Vancouver où les meilleurs experts en sécurité mettent en avant la sécurité des principaux systèmes d’exploitation et programmes. Ce concours annuel déplace beaucoup d’argent, et il a deux objectifs principaux : le premier est d’acquérir une réputation et une reconnaissance dans le monde de la sécurité informatique en démontrant qui sont les meilleurs pirates informatiques (et en remportant d’importants prix en espèces), et deuxièmement, signaler de graves failles de sécurité aux fabricants afin qu’ils puissent les corriger et que les utilisateurs de leurs logiciels soient en sécurité.
Toutes les compétitions se déroulent dans des environnements contrôlés et sûrs, donc ni les bugs ni les exploits ne peuvent tomber entre de mauvaises mainset jusqu’à ce que les développeurs corrigent les vulnérabilités, et cela fait un moment qu’ils ne l’ont pas fait, aucune information technique n’est fournie.
Le premier jour du concours, différents groupes de hackers ont réussi à casser la sécurité des principaux systèmes d’exploitation : Windows, macOS et Ubuntu. Ils ont également montré que les logiciels largement utilisés tels qu’Adobe Reader et Microsoft SharePoint présentaient de graves vulnérabilités susceptibles de mettre en danger les systèmes des utilisateurs, en particulier au niveau de l’entreprise. Et, en plus, ils ont réussi à mener une attaque informatique pour prouver quelque chose que nous savions tous déjà : que le logiciel du Tesla Modèle 3 Il a de graves failles de sécurité.
Initiative Zero Day
@thezdi
Cela conclut le jour 2 de #P2OVancouver – nous avons attribué 475 000 $ pour 10 jours zéro uniques aujourd’hui, portant le total attribué à 850 000 $ ! Rendez-vous demain pour la dernière journée du concours. #Pwn2Own https://t.co/EtMnP4Ree5
24 mars 2023 • 00:37
Deuxième jour de Pwn2Own 2023
En cette deuxième journée de compétition, des groupes de hackers ont continué à attaquer les principales cibles pour démontrer comment ils sont capables d’exploiter leurs failles de sécurité. Ainsi, le premier à tomber, pour la deuxième journée consécutive, a été Tesla, puisque le groupe de hackers a réussi à attaquer à nouveau l’Infotainment Unconfined Root du système de ces constructeurs, remportant 250 000 dollars, en plus d’une Tesla Modèle 3.
Initiative Zero Day
@thezdi
CONFIRMER! @Synacktiv a utilisé un débordement de tas et une écriture OOB pour exploiter le système d’infodivertissement sur la Tesla. Lorsqu’ils nous ont donné les détails, nous avons déterminé qu’ils étaient en fait qualifiés pour un prix de niveau 2 ! Ils gagnent 250 000 $ et 25 points Master of Pwn. 1er prix de niveau 2 jamais décerné. Travail stellaire! https://t.co/IPOnXG5S0u
23 mars 2023 • 22:17
Un autre des systèmes qui a de nouveau chuté pour la deuxième fois consécutive est Ubuntu. La principale distribution Linux, qui se vante tant d’être sécurisée, a une fois de plus prouvé le contraire, tombant dans un exploit d’escalade de privilèges qui a récompensé le groupe avec 30 000 $.
Initiative Zero Day
@thezdi
Le jour 2 se termine avec un autre succès ! Tanguy Dubroca (@SidewayRE) de Synacktiv (@Synacktiv) a utilisé une mise à l’échelle incorrecte du pointeur entraînant une élévation des privilèges sur Ubuntu Desktop. Ils gagnent 30 000 $ et 3 points Master of Pwn. #P2OVancouver #Pwn2Own https://t.co/rtX7tZWqzS
24 mars 2023 • 00:25
Le troisième des programmes tombés lors de cette deuxième journée de compétition a été Oracle VirtualBox, le populaire logiciel de virtualisation de système d’exploitation open source. Les attaquants ont réussi à créer un exploit qui tire parti de trois bogues du logiciel pour obtenir des privilèges au sein d’un hôte avec VirtualBox, qui les a récompensés avec 80 000 $.
Initiative Zero Day
@thezdi
Succès / Collision – Thomas Imbert (@masthoon) et Thomas Bouzerar (@MajorTomSec) de @Synacktiv ont démontré une chaîne de 3 bogues contre Oracle VirtualBox avec un Host EoP. Un bogue était déjà connu. Ils gagnent toujours 80 000 $ et 8 points Master of Pwn. #Pwn2Own #P2OVancouver https://t.co/0vQTFqYrU6
23 mars 2023 • 20:21
VirtualBox a également été touché par une seconde faille de sécurité, de type Use-After-Free (UAF), qui a été récompensée de 40 000 $.
Initiative Zero Day
@thezdi
Succès! dungdm (@_piers2) de Team Viettel (@vcslab) a utilisé une variable non initialisée et un bogue UAF pour exploiter Oracle VirtualBox. Ils gagnent 40 000 $ et 4 points Master of Pwn. #Pwn2Own #P2OVancouver https://t.co/Swq8lIjeN7
23 mars 2023 • 23:32
Et enfin, Microsoft Teams, le programme de messagerie populaire pour les entreprises (qui est également intégré à Windows 11), a également chuté, qui a été piraté en profitant de deux exploits récompensant ses experts de 75 000 dollars.
Initiative Zero Day
@thezdi
Succès! @hoangnx99, @rskvp93 et @_q5ca de Team Viettel (@vcslab) ont utilisé une chaîne de 2 bogues dans leur tentative contre Microsoft Teams. Ils gagnent 75 000 $ et 8 points Master of Pwn. https://t.co/1dq4ofM6bS
23 mars 2023 • 20:59
Au total, cette deuxième journée de compétition a récompensé les chercheurs avec 475 000 $. Et il reste encore une troisième journée de compétition. Qui tombera le dernier jour de Pwn2Own 2023 ? Nous verrons bientôt.