Posté le mars 26, 2019 à 10:26
LES HACKERS PIRATENT DEUX NAVIGATEURS POPULAIRES LORS DU CONCOURS PAWN2OWN
Le navigateur Microsoft Edge de Microsoft et Firefox de Mozilla ont été les principaux programmes qui ont été sévèrement battus le deuxième jour de la compétition Pawn2Own alors que les pirates ont trouvé quelques exploits intéressants.
Le deuxième jour de Pawn2Own, un concours annuel de piratage a lieu le deuxième jour. La compétition, qui se déroule parallèlement à CanSecWest, a déboursé plus de 270 000 dollars pour des exploits destinés à deux des plus grands navigateurs actuellement utilisés.
Les grands gagnants de la journée ont été l’équipe appelée Fluoroacetate composée d’Amat Cama et de Richard Zhu. Le duo de choc a d’abord piraté Firefox de Mozilla en utilisant un bug JIT dans le navigateur lui-même et en tirant parti d’un exploit d’écriture en dehors des limites dans le noyau Windows. Cela a permis au Fluoroacetate de s’introduire dans le système et de s’en approprier.
En rédigeant les résultats de la journée, Zero Day Initiative a déclaré qu’ils étaient en fait en mesure d’exécuter du code au niveau « SYSTEM » (souligné par ZDI) d’une manière remarquablement simple en faisant Firefox pour visiter leur site Web spécialement conçu à cet effet. Le duo a reçu 50 000 $ pour leurs efforts, mais ils n’avaient pas encore terminé.
Ils ont ensuite réussi à exploiter Edge de manière à pouvoir prendre possession du système hôte même si le navigateur s’exécutait sur une machine virtuelle. L’exploit Edge a été très apprécié par les participants et par Zero Day Initiative elle-même. L’utilisation du bug hors limite pour échapper à VMWare a été particulièrement saluée par tous ceux qui ont été impliqués dans la confusion qui a donné le coup d’envoi du bug suivi d’une course conditionnelle dans le noyau.
https://twitter.com/thezdi/status/1108812191996628992
Le deuxième exploit ne leur a pas seulement rapporté 130 000 dollars, il leur a également été attribué 13 points Master of Pwn. Cela contribuera énormément à aider le duo à rester en tête du classement et à porter le total de leurs gains à Pawn2Own 2019 à 340 000 $ au cours des deux premiers jours.
Cependant, l’impressionnant duo hacker n’a pas été le seul à recevoir des applaudissements le deuxième jour.
Ce jour-là et pour la deuxième fois, un pirate informatique appelé Niklas Baumstark a réussi à pénétrer dans Mozilla. Son exploit lui a permis d’exécuter du code au niveau du système sur un PC en exploitant un bug JIT dans Mozilla. C’était le deuxième bug JIT trouvé dans Firefox le même jour.
ZDI a écrit que, dans un scénario réel, cela pourrait potentiellement permettre à un attaquant d’exécuter du code de niveau administrateur sur un système cible. Ils notent également que Niklas a reçu 40 000 dollars US pour ses efforts visant à détecter ce virus et à exposer l’exploit.
Le chercheur Exodus Intelligence du nom d’Arthur Gerkis a été le dernier candidat et a fait ses débuts au concours Pawn2Own. Il n’a pas perdu de temps pour se familiariser avec le monde de la recherche de bug en exploitant un double bug gratuit dans le moteur de rendu d’Edge. Il a ensuite suivi avec un bug logique qui échappait au réglage du Sandbox selon ZDI.
