Les chercheurs en sécurité ont réussi à exploiter des vulnérabilités jusque-là inconnues dans Apple Safari, Google Chrome et Flash Player, compromettant les dernières versions de Mac OS X et de Windows dès le premier jour du concours annuel Pwn2Own 2016. Mercredi, quatre équipes et un chercheur ayant participé à titre individuel ont tenté par six fois de s’attaquer aux cibles fixées par le concours cette année : il s’agissait pour eux de pirater la dernière version de Safari pour OS X, la dernière version de Chrome pour Windows, Microsoft Edge pour Windows et Flash Player pour Windows. Quatre de leurs tentatives ont été réussies, une était partiellement réussie et une a échoué.
La 360Vulcan Team de l’entreprise de sécurité Internet chinoise, Qihoo 360, a combiné une vulnérabilité d'exécution de code à distance dans Flash Player avec une vulnérabilité dans le noyau Windows pour obtenir des privilèges système. Pour cet exploit, ils ont reçu un prix de 80 000 dollars, dont 60 000 dollars pour l’exploit Flash Player, plus un bonus de 20 000 dollars pour l'escalade au niveau du système. Plus tard dans la journée, la même équipe a montré comment réaliser une attaque par exécution de code à distance contre Google Chrome sous Windows. Les membres de l’équipe ont également réussi à obtenir des privilèges système avec leur attaque. Pour y parvenir, ils ont exploité avec succès quatre vulnérabilités : une dans Chrome, deux dans Flash et une autre dans le noyau Windows. Cependant, leur victoire a été jugée partielle, parce que la faille qu’ils ont exploitée dans Chrome avait déjà été signalée à Google par un chercheur indépendant à l'insu de l'équipe. Elle ne pouvait donc plus être considérée comme une faille zero day. L'équipe a toutefois remporté la somme de 52 500 dollars, si bien que, dès le premier jour la 360Vulcan Team a remporté 132 500 dollars.
Les hackers chinois dévoilent leur savoir-faire
Le chercheur sud-coréen, Junghoon Lee, connu dans les cercles de hackers sous le pseudo lokihardt, a montré comment mener une attaque d'exécution de code à distance contre le navigateur Safari sous Mac OS X avec une escalade de privilèges root. Il a également combiné quatre vulnérabilités, ce qui lui valut de remporter un prix de 60 000 dollars. Cette année, les failles exploitées dans Safari sont récompensées par un prix de 40 000 dollars, contre 60 000 dollars pour Chrome et Microsoft Edge sous Windows. Un bonus de 20 000 dollars est accordé en cas d'escalade de privilège sous Windows et Mac OS X. Il est intéressant de noter que Junghoon Lee avait été le meilleur concurrent de l’édition 2015 du Pwn2Own, puisqu’il avait remporté à lui seul 225 000 dollars, soit près de la moitié de la dotation globale du concours. Il peut encore se classer en tête cette année : en effet, hier, il devait également participer au piratage de Chrome et de Microsoft Edge. Pour l’instant, l’équipe 360Vulcan est en tête, mais elle n’est inscrite à aucun autre défi.
Trois équipes du géant de l'Internet chinois Tencent, qui regroupent des ingénieurs en sécurité de plusieurs de ses filiales, participent au concours Pwn2Own de cette année. Au cours de la première journée, la Tencent Security Team Shield a montré comment mener une attaque contre Safari pour obtenir l'exécution de code au niveau root. L'exploit combinait deux vulnérabilités, l’une dans Safari et l’autre dans un processus permettant une escalade de privilège. L’équipe a remporté un prix de 40 000 dollars. Pendant ce temps, la Tencent Security Sniper Team a montré comment mener une attaque contre Flash Player sous Windows. Pour cette attaque impliquant une escalade de privilège au niveau du système, l’équipe a remporté 50 000 dollars. Enfin, la Tencent, Xuanwu Lab Team a tenté un exploit contre Adobe Flash dans Microsoft Edge, mais leur attaque n'a pas fonctionné.
15 failles déjà mises à jour
Pendant la première journée, les chercheurs en sécurité ont gagné 282 500 dollars et mis à jour 15 vulnérabilités jusqu'alors inconnues. Les exploits ont été partagés avec les organisateurs du concours Zero Day Initiative, qui fait maintenant partie de Trend Micro, et ils seront communiqués aux vendeurs concernés. Cette année, le concours Pwn2Own est parrainé par Trend Micro et Hewlett Packard Enterprise. La dotation totale des prix s’élève à environ 600 000 dollars.
Commentaire