Posté le mars 26, 2023 à 7:38
LE CONCOURS PWN2OWN VANCOUVER TOUCHE À SA FIN ET LES HACKERS REMPORTENT PLUS D’UN MILLION DE DOLLARS
Le concours de piratage informatique Pwn2Own Vancouver est terminé. Les hackers de haut niveau ont gagné 1 035 000 dollars et une voiture Tesla Model 3. Les hackers ont remporté ces prix après avoir exploité 27 vulnérabilités zero day et effectué d’autres collisions de bugs. Le concours de piratage s’est déroulé du 22 au 24 mars.
Des hackers gagnent plus d’un million de dollars au concours Pwn2Own
Le concours de piratage Pwn2Own est l’un des plus grands concours de ce type au niveau mondial. Il réunit des chercheurs en sécurité chargés de cibler les dispositifs utilisés dans les applications et les communications d’entreprise.
Les hackers cherchent à exploiter les systèmes cibles en ciblant plusieurs points d’entrée tels que l’escalade des privilèges (EoP) locale, la virtualisation, les serveurs et les catégories automobiles. Tous les systèmes qui sont soumis à des tests de résistance pendant la compétition sont généralement à jour et fonctionnent dans leur configuration par défaut.
La cagnotte totale pour les participants et les gagnants de la compétition Pwn2Own Vancouver s’élève à un peu plus d’un million de dollars. La cagnotte comprenait également une Tesla Model 3 remportée par l’équipe de Synacktiv.
Les hackers qui ont participé à ce concours ont réussi à escalader les privilèges. Ils ont aussi réussi à faire exécuter du code sur des systèmes qui avaient été entièrement corrigés. Les concurrents se sont attaqués à Windows 11, Microsoft Teams, Microsoft SharePoint, Ubuntu Desktop, macOS, Oracle VirtualBox, VMware Workstation et la Tesla Model 3.
Les hackers s’introduisent dans ces systèmes en utilisant des vulnérabilités zero day. Une fois que ces vulnérabilités ont été exploitées et signalées pendant la compétition, les fournisseurs respectifs disposent de 90 jours pour publier des correctifs afin de corriger les bugs. Au bout de 90 jours, l’initiative TrendMicro Zero Day, qui est à l’origine de la campagne de piratage, divulguera publiquement les vulnérabilités.
L’équipe Synacktiv a dominé le concours
La compétition a été remportée par l’équipe Synacktiv. Cette équipe a obtenu 53 points de Master of Pwn. Elle a gagné un total de 530 000 dollars au cours de la compétition qui a duré trois jours. Les hackers ont remporté leur première victoire dès le premier jour de la compétition.
Au cours de la première journée du Pwn2Own Vancouver, les hackers de Synacktiv ont reçu une récompense de 100 000 dollars et une Tesla Model 3 après avoir exécuté un time-of-check to time-of-use (TOCTOU) contre la voiture. L’équipe s’est introduite dans la Tesla par le biais de la Tesla – Gateway dans la catégorie Automobile.
Les hackers ont aussi exploité une vulnérabilité zero day TOCTOU qui a permis d’élever les privilèges sur le macOS d’Apple. L’exploit a réussi à faire gagner 40 000 dollars aux hackers. Les hackers ont volé la vedette pendant le premier jour de la compétition et le deuxième jour.
Au cours de la deuxième journée, les membres de l’équipe Synacktiv ont également réalisé des exploits de piratage qui ont réussi à dominer le spectacle. Un prix de 250 000 dollars a été décerné à David Berard et Vincent Dehors après qu’ils aient démontré un débordement de tas et une chaîne d’exploitation OOB write zero-day. Ils ont démontré un débordement de tas et une chaîne d’exploitation OOB write zero-day sur le Tesla-Infotainment Unconfined Root.
Les autres membres de l’équipe Synacktiv, Thomas Imbert et Thomas Bouzerar, ont fait la démonstration d’une chaîne de trois bugs. Cette chaîne a été utilisée pour élever les privilèges sur l’hôte Oracle VirtualBox. Les deux hommes ont gagné 80 000 dollars grâce à cette démonstration.
Tanguy Dubroca a également reçu une récompense de 30 000 dollars après avoir fait un pointeur incorrect sur un exploit zero day. Cet exploit a entraîné une escalade des privilèges sur le bureau Ubuntu.
L’équipe Synacktiv a également dominé le troisième jour de la compétition. Au cours de cette dernière journée, Thomas Imbert, de l’équipe Synacktiv, s’est introduit dans un système Windows 11 entièrement corrigé. Le hacker a remporté 30 000 dollars grâce à cet exploit après avoir ciblé un exploit zero-day Use-After-Free (UAF).
Synacktiv n’est pas la seule équipe à avoir réussi des exploits zero day pendant la compétition. L’équipe STAR Labs a remporté 195 000 dollars pour des exploits zero day de Microsoft SharePoint et VMWare Workstation. L’équipe a également obtenu l’accès à une collision avec Ubuntu Desktop.
L’équipe Viettel fait aussi partie des équipes gagnantes de la compétition. L’équipe a reçu 115 000 dollars après avoir piraté Microsoft Teams et Oracle VirtualBox. Le concours de piratage Pwn2Own de cette année n’est pas différent de celui de l’année dernière.
En 2022, le concours de piratage Pwn2Own Vancouver, qui s’est tenu en mai, a permis à des chercheurs en sécurité de remporter 1 155 000 dollars et une voiture. Au cours de la compétition, les hackers ont piraté le système d’infodivertissement de la Tesla Model 3. Ils ont également mis hors service Windows 11, Ubuntu Desktop, Microsoft Teams et d’autres en utilisant de multiples vulnérabilités zero day tout en exploitant des chaînes.
Ces concours de piratage sont généralement utiles aux entreprises technologiques qui y participent, car ils leur permettent de détecter et de corriger les vulnérabilités avant que des acteurs malveillants ne les exploitent dans la nature.
