Posté le avril 11, 2021 à 17:13
DEUX HACKERS GAGNENT 200 000 $ LORS DU CONCOURS DE PIRATAGE PWN2OWN QUI VIENT DE SE TERMINER
L’événement de concours de piratage Pwn2Own en direct a démarré en fanfare, puisque le total des gains a dépassé le million de dollars, et a produit la toute première femme victorieuse de la compétition.
La compétition a accueilli environ 23 participants et chercheurs en sécurité, qui ont gagné collectivement 1 210 000 dollars, un record par rapport au prix total de 1,5 million de dollars. L’événement était organisé par Zero Day Initiative (ZDI) et a duré trois jours.
À l’issue de l’événement, trois chercheurs en sécurité ont obtenu conjointement la première place du classement, après avoir accumulé chacun 20 points Master of Pwn.
Il s’agissait de la 14e édition de l’événement de piratage, qui a lieu chaque année. Il est intéressant de noter qu’une nouvelle catégorie de l’événement a été créée, les communications d’entreprise ayant été ajoutées aux serveurs, à la virtualisation et aux navigateurs Web.
Tout le monde est gagnant
Différents fournisseurs ont proposé leurs services et leurs logiciels aux participants pour qu’ils les piratent. Alors que les hackers sont récompensés pour avoir découvert des bugs, les fournisseurs bénéficient de l’autorisation donnée aux participants de rechercher des vulnérabilités
Lorsqu’un bug est découvert, ils peuvent essayer de proposer des correctifs avant qu’ils ne soient découverts par des acteurs malveillants.
Les fournisseurs peuvent rendre leurs logiciels plus sécurisés afin de les protéger contre les acteurs malveillants qui ne reculent devant rien pour compromettre un système à partir de bugs découverts.
Alisa Esage Shevchenko, la toute première femme à participer au concours, a été récompensée après avoir obtenu deux points Master of Pwn.
Elle a déclaré sur Twitter qu’elle était « super excitée » après avoir atteint un objectif personnel important avec l’exploit « zero-day Hypervision VM escape ».
C’est la deuxième fois consécutive que l’événement se déroule sous une forme virtuelle. À l’origine, il s’agissait d’un événement en personne organisé chaque année au Canada, mais la pandémie de COVID-19 a poussé les organisateurs à l’adapter. L’événement qui vient de se terminer a démarré avec huit entrées successives.
Deux participants ont gagné 200 000 $.
L’un des plus grands moments de l’événement a été l’obtention de 200 000 dollars de prix par les éventuels Masters of DEVCORE et Pwn ‘OV’. Le premier a réalisé une escalade de privilèges locaux et un contournement d’authentification pour prendre le contrôle du serveur Microsoft Exchange. Le second était pour une chaîne de deux vulnérabilités dans Microsoft Teams, qui a conduit à l’exécution de code.
En outre, les autres lauréats, Thijs Alkemade et Daan Keuper, ont gagné la même somme le lendemain après avoir déployé une chaîne de trois bugs pour réaliser une exécution de code en zéro-clic sur Zoom messenger.
Le lendemain, Niklas Baumstark et Bruno Keith, de Dataflow Security, ont fait partie des 11 participants ayant réussi à exploiter le moteur de rendu dans Microsoft Edge et Google Chrome basés sur Chromium. Ils ont tous deux gagné 100 000 dollars.
L’autre groupe, composé de Marcin Wiazowski, Da Lao et Benjamin McBride de L3Harris Trenchant, a gagné 40 000 dollars pour une vulnérabilité de corruption de mémoire, qui a conduit à l’exécution de code sur Parallels Desktop. Le trio a également obtenu quatre points Master of Pwn chacun pour son travail.
On a demandé à Brian Gorenc, responsable de ZDI et directeur principal de la recherche sur les vulnérabilités chez Trend Micro, de choisir son exploit préféré. Il a répondu qu’il était difficile de choisir entre la démonstration de zoom zero-day et l’exploit Microsoft Exchange. Il a ajouté que les deux ont généralement un impact considérable sur des cibles comptant des millions d’utilisateurs.
Les fournisseurs ont 90 jours pour fournir des correctifs.
L’exploit a été diffusé en direct sur Twitch et YouTube, et le blog de ZDI a présenté un compte rendu de l’exploit étape par étape.
Les fournisseurs qui ont participé à l’événement ont 90 jours pour fournir des correctifs pour les vulnérabilités signalées avant qu’elles ne soient révélées au public.
Le Pw2Own Vancouver 2020 est passé à la hâte en mode virtuel l’année dernière après l’apparition de la pandémie de COVID-19. Le tout premier événement virtuel a été remporté par les champions en titre Richard Zhu et Amat Cama et Richard Zhu de l’équipe Fluoroacetate après qu’ils aient pris le contrôle du noyau de Windows et du lecteur Adobe grâce à deux vulnérabilités « use-after-free ».
On s’attend fortement à ce que le format présentiel revienne après le déploiement du vaccin COVID-19. Toutefois, les organisateurs ont déclaré qu’ils ne savaient pas quand il serait possible de revenir à l’ancien format.
« Notre objectif est de tirer le meilleur de ce que nous faisons dans le format virtuel et de le combiner avec un concours physique pour un événement hybride », ont-ils déclaré.
