Pwn2Own : Microsoft Teams et Windows 11 hackés dès le premier jour !
Actuellement se déroule la compétition de hacking Pwn2Own Vancouver 2022, et dès le premier jour, les équipes sont parvenus à trouver des vulnérabilités dans différents produits tels que Windows 11 et Microsoft Teams. Faisons le point.
Lors de cette première journée de compétition, les participants ont pu remporter 800 000 dollars de récompense grâce à la découverte et l'exploitation de 16 failles de sécurité zero-day, au sein de différents produits. Dans cette liste des produits hackés, on retrouve des produits très populaires et tendances : Microsoft Teams, et Windows 11, le dernier système d'exploitation de Microsoft.
Cet événement se déroule du 18 au 20 mai 2022, et de belles sommes sont en jeux, et elles sont plus ou moins importantes en fonction des vulnérabilités trouvées et des produits. Il est également possible de remporter une voiture : une Tesla Model 3 ou une Tesla Model S. D'ailleurs, en parlant de Tesla, si une équipe réussie parvient à hacker une voiture Tesla, la récompense sera de 600 00 dollars, en plus de remporter la voiture elle-même.
Au-delà des récompenses et du côté challenge, ce type d'événement est très intéressant pour renforcer la sécurité des systèmes et logiciels grâce aux nouvelles failles de sécurité découvertes et qui vont pouvoir être corrigées par les éditeurs. Sachez que les éditeurs ont 90 jours pour publier un correctif de sécurité permettant de patcher les vulnérabilités découvertes.
Pwn2Own : plusieurs vulnérabilités découvertes dans Teams
Ce n'est pas une vulnérabilité que les participants ont pu mettre en lumière dans Microsoft Teams, mais plusieurs ! Tout d'abord, Hector Peralta a exploité une faille liée à une mauvaise gestion de la configuration de Teams, puis, l'équipe STAR Labs a démontré un autre exploit basé sur l'exploitation de deux vulnérabilités. Enfin, Teams a fait les frais d'un troisième hacker : Masato Kinugawa qui est parvenu à trouver un exploit basé sur l'exploitation de trois bugs de sécurité (injection, mauvaise configuration et échappement de la sandbox). Grâce à ces démonstrations, chaque participant a pu récolter une jolie somme : 150 000 dollars.
L'équipe STAR Labs ne s'est pas arrêtée en si bon chemin en découvrant une vulnérabilité d'élévation de privilèges (Use-After-Free) dans Windows 11, permettant d'obtenir une récompense de 40 000 dollars supplémentaires. Pour finir, ils ont découvert une vulnérabilité dans VirtualBox et ont obtenu 40 000 dollars encore en plus. Une bonne journée !
Mais ce n'est pas tout !
Au-delà de ces vulnérabilités dans Microsoft Teams, Windows 11, ainsi que VirtualBox, d'autres ont été hackés ! Par exemple, Manfred Paul a récolé 150 000 dollars grâce à la faille qu'il a découverte dans le navigateur Safari d'Apple et celle qu'il a découverte dans Mozilla Firefox. De son côté, Keith Yeo a remporté 40 000 dollars grâce à une faille de sécurité découverte dans Ubuntu Desktop.
Pour en savoir plus, je vous invite à consulter ce lien : PWN2OWN VANCOUVER 2022 - Les résultats
Je vous laisse en compagnie du classement de cette première journée. 😉