Posté le mai 21, 2022 à 9:39
WINDOWS 11 ET TEAMS FIGURENT PARMI LES LOGICIELS PIRATÉS LE PREMIER JOUR DE PWN2OWN
La dernière itération du logiciel de Microsoft est un autre exemple de la façon dont le géant de la technologie prend une position massive basée sur la sécurité pour se protéger contre les futures infiltrations de logiciels. Lors de la dernière compétition de piratage Pwn2Own, des hackers white hat viennent de prouver à l’entreprise qu’elle doit travailler un peu plus sur la sécurité de ses logiciels. Le concours de piratage n’a pas pris plus de 24 heures avant que certains des meilleurs hackers ne s’introduisent dans Windows 11 et dans Microsoft Team.
Zero Day Initiative rapporte que Pwn2Own est toujours en cours, mais que certains hackers ont déjà gagné énormément d’argent en s’introduisant dans le logiciel présenté par Microsoft. Pwn2Own est l’un des contenus de piratage les plus populaires, car les meilleurs dans ce domaine tentent de se surpasser en perçant la sécurité des logiciels qui leur sont présentés.
Lorsqu’un hacker réussit à percer ou à découvrir une vulnérabilité, il est invité à signaler immédiatement la faille aux développeurs pour leur permettre de la corriger avant que les hackers black hat n’en prennent connaissance. Bien entendu, le hacker ne rentrera pas chez lui sans une récompense financière pour son effort.
Une fois la vulnérabilité confirmée en privé, le hacker reçoit une belle somme d’argent en guise de récompense.
La première journée de Pwn2Own s’avère significative
La première journée de la compétition de piratage Pwn2Own s’est avérée significative, puisque certains hackers ont réussi à découvrir des vulnérabilités majeures dans Microsoft Team et Windows 11.
L’événement a vu deux attaques réussies sur Windows 11 et trois sur Microsoft Teams, chaque attaque réussie offrant une belle récompense. La prime la plus importante était de 150 000 dollars, tandis que la plus basse était de 40 000 dollars. L’événement est toujours en cours, ce qui signifie que d’autres vulnérabilités pourraient être découvertes et que d’autres primes pourraient être versées par la suite.
Au cours de la première journée de la compétition, les concurrents ont porté 600 000 dollars après avoir exploité avec succès 16 vulnérabilités zero-day.
La première à être exposée a été Microsoft Teams après que le hacker Hector Peralta ait exploité un bug de mauvaise configuration.
Dans une autre exploitation de vulnérabilité zero-day, l’équipe de STAR Labs a démontré ses capacités dans une chaîne d’exploitation de 2 vulnérabilités. Microsoft Teams a également été exposé pour la troisième fois par Masato Kinugaw après avoir exploité une chaîne de 3 vulnérabilités : infection, évasion de sandbox et mauvaise configuration.
Oracle et Mozilla ont également versé des récompenses
Chacun des trois hackers a reçu 150 000 dollars pour avoir réussi à exploiter des zero-days dans Microsoft Team. En plus de cette somme, STAR Labs a fait preuve d’une autre compétence en réussissant une élévation de privilèges sur Oracle Virtualbox, gagnant ainsi 40 000 dollars. L’équipe de hackers a gagné 40 000 dollars supplémentaires après avoir élevé les privilèges sur un système fonctionnant sous Windows 11 en utilisant une faille Use-After-Free.
Un autre hacker, Manfred Paul, a reçu une récompense de 150 000 dollars après avoir réussi à exploiter deux bugs (validation incorrecte des entrées et prototype pollution) pour pirater Mozilla Firefox. D’autres hackers ont également reçu une part équitable de la prime, qui pourrait augmenter au cours des deuxième et troisième jours de la compétition.
En dehors de Microsoft, les hackers ont par ailleurs découvert des vulnérabilités dans des logiciels appartenant à d’autres grandes entreprises. Oracle et Mozilla ont aussi vu leurs logiciels piratés, mais la plupart des vulnérabilités provenaient de Windows 11 et Teams. Ils ont également payé plus que les autres entreprises en raison de la nature critique des failles découvertes.
Il reste encore deux jours avant la fin de la compétition, et d’autres vulnérabilités vont probablement être découvertes. Mais les résultats du premier jour pourraient bien rester les plus déterminants pour les entreprises piratées.
Microsoft doit redoubler d’efforts en matière de sécurité
La compétition de piratage a déjà fait ses preuves, car Microsoft apprécierait qu’un hacker blanc découvre les failles de Windows 11 et de Teams avant qu’un black hat hacker ne le fasse. Bien que le géant de la technologie verse une prime d’un montant raisonnable, il est considéré comme bien meilleur et plus sûr que l’exposition aux acteurs malveillants. Microsoft a effectué de sérieuses mises à jour de sa sécurité ces derniers temps. La société a refusé l’accès à ceux qui tentent d’installer Windows 11 sur d’anciennes versions de PC afin de se protéger contre les intrusions. Le processeur ne prend pas en charge le TPM2.0, qui est nécessaire pour que Windows 11 soit aussi sûr que possible.
Mais des hackers ont réussi à pirater à la fois Teams et Windows 11 lors de l’événement, infirmant toute affirmation du géant de la technologie selon laquelle ses systèmes sont totalement sûrs.
Bien que Microsoft dispose des outils et des ressources nécessaires pour corriger les vulnérabilités, cela montre que la sécurité du logiciel n’est pas aussi solide qu’il n’y paraît. L’entreprise technologique publiera un correctif pour la faille avant que les acteurs de menaces n’en aient connaissance et ne frappent.