Au cours de la première journée de Pwn2Own Vancouver 2022, les participants ont gagné 800 000 $ après avoir exploité avec succès 16 bogues zero-day pour pirater plusieurs produits, y compris le système d’exploitation Windows 11 de Microsoft et la plate-forme de communication Teams.
Le premier à tomber a été Microsoft Teams dans la catégorie des communications d’entreprise après qu’Hector Peralta ait exploité une faille de configuration incorrecte.
L’équipe de STAR Labs (Daniel Lim Wee Soong, Poh Jia Hao, Li Jiantao et Ngo Wei Lin) a également démontré une chaîne d’exploitation sans clic Teams de 2 bogues (injection et écriture arbitraire de fichiers).
Microsoft Teams a été piraté une troisième fois par Masato Kinugawa, qui a exploité une chaîne de 3 bogues d’injection, de mauvaise configuration et d’échappement de bac à sable.
Chacun d’entre eux a gagné 150 000 $ pour avoir réussi à démontrer ses zero-days Microsoft Teams.
STAR Labs a également gagné 40 000 $ supplémentaires après avoir élevé les privilèges sur un système exécutant Windows 11 en utilisant une faiblesse Use-After-Free et 40 000 $ supplémentaires en obtenant une escalade de privilèges sur Oracle Virtualbox.
Manfred Paul (@_manfp) a également fait une démonstration réussie de 2 bugs (pollution du prototype et validation incorrecte des entrées) pour pirater Mozilla Firefox et une écriture hors bande sur Apple Safari pour gagner 150 000 $.
Parmi les autres points forts de la première journée de Pwn2Own, citons Marcin Wiązowski, Team Orca de Sea Security et Keith Yeo démontrant plus de zero-days dans Windows 11 et Ubuntu Desktop,
Le deuxième jour, les concurrents de Pwn2Own tenteront d’exploiter les jours zéro dans le système d’infodivertissement Tesla Model 3 (avec Sandbox Escape) et Diagnostic Ethernet (avec Root Persistence), Windows 11 et Ubuntu Desktop.
Une fois les vulnérabilités de sécurité démontrées et divulguées pendant Pwn2Own, les fournisseurs de logiciels et de matériel disposent de 90 jours pour développer et publier des correctifs de sécurité pour toutes les failles signalées.
Au cours du concours Pwn2Own Vancouver 2022, les chercheurs en sécurité cibleront des produits dans les catégories navigateur Web, virtualisation, escalade locale des privilèges, serveurs, communications d’entreprise et automobile.
Entre le 18 et le 20 mai, ils pourront gagner plus de 1 000 000 $ en argent et en prix, dont une Tesla Model 3 et une Tesla Model S. La plus haute récompense pour le piratage d’une Tesla est maintenant de 600 000 $ (et, peut-être, la voiture elle-même).
L’équipe Fluoroacetate a été la première à rentrer chez elle avec une Tesla Model 3 à Pwn2Own Vancouver 2019 après avoir piraté le système d’infodivertissement basé sur Chromium de la voiture.
source : bleepingcomputer