Pwn2Own 2022 : Ubuntu et Windows 11 hackés à plusieurs reprises !
La compétition de hacking Pwn2Own Vancouver 2022 est désormais terminée ! Après trois jours de recherches intenses, voici un résumé de ce qu'il s'est passé.
Premier jour
Tout d'abord, je vous rappelle que pendant le premier jour de la compétition, les participants ont pu récolter 800 000 dollars de récompense grâce aux différentes vulnérabilités trouvées et aux démonstrations associées. Au total, lors de cette première journée, ils ont découvert 16 failles de sécurité zero-day au sein de multiples produits : Windows 11, Microsoft Teams, Ubuntu Desktop, Mozilla Firefox, Apple Safari, et Oracle VirtualBox.
Deuxième jour
Lors de la deuxième journée, les participants se sont d'avantages concentrés sur le système Tesla. D'ailleurs, l'équipe Synacktiv est parvenue à trouver deux bugs de sécurité différents dans le système d'infodivertissement de la Tesla Model 3, pour une récompense de 75 000 dollars.
Le participant @Jedar_LZ n'a pas réussi à faire la démo de son exploit Tesla dans le temps imparti, donc il n'a pas obtenu de récompense. Néanmoins, la Zero Day Initiative (ZDI) de Trend Micro a obtenu les détails de l'exploit et les a communiqués à Tesla afin que la vulnérabilité soit corrigée malgré tout. L'occasion de rappeler que dans certains cas, les tentatives ont échoué, car les candidats ont un temps limité pour découvrir et montrer l'exploit qu'ils découvrent.
Lors de cette journée, le participant nommé To est parvenu à trouver une vulnérabilité de type "élévation de privilèges" au sein de Windows 11. Il était sur le point d'en trouver une deuxième, mais cela n'a pas abouti par manque de temps.
Enfin, Bien Pham et l'équipe TUTELARY sont parvenus à découvrir deux failles de sécurité permettant une élévation des privilèges au sein d'Ubuntu Desktop. Ils ont pu obtenir 40 000 dollars chacun.
Troisième jour
Pendant ce troisième jour de compétition, les participants sont retournés à la charge sur Windows 11, Ubuntu, etc... Résultat, il y a eu de nouvelles vulnérabilités découvertes : en l'occurrence Windows 11 par trois fois et une fois Ubuntu Desktop, ce qui représente des récompenses de 160 000 dollars. Par ailleurs, l'équipe DoubleDragon n'a pas pu faire valider sa tentative sur Microsoft Teams par manque de temps.
La vulnérabilité sur Ubuntu Desktop a été découverte par l'équipe STAR Labs, qui avait déjà fait la découverte de deux vulnérabilités dans Windows 11 lors de la première journée de compétition.
Cet événement étant terminé, c'est l'heure de faire les comptes ! Lors du Pwn2Own 2022 de Vancouver, les 17 participants ont gagné un total de 1 155 000 dollars grâce aux chaînes d'exploitation et aux exploits (failles "zero-day") identifiés pendant ces trois jours. Félicitations aux différentes équipes ! 🙂
Maintenant, la balle est dans le camp des éditeurs qui disposent de 90 jours pour corriger les différentes failles de sécurité découvertes ! Sinon, la Trend Micro Zero Day Initiative pourra divulguer publiquement les détails sur ces vulnérabilités.