Le premier jour de Pwn2Own Vancouver 2023, des chercheurs en sécurité ont réussi à faire la démonstration des exploits et des chaînes d’exploitation du jour zéro Tesla Model 3, Windows 11 et macOS pour gagner 375 000 $ et un Tesla Model 3.

Le premier à tomber a été Adobe Reader dans la catégorie des applications d’entreprise après qu’Abdul Aziz Hariri (@abdhariri) de Haboob SA ait utilisé une chaîne d’exploitation ciblant une chaîne logique à 6 bogues abusant de plusieurs correctifs défaillants qui ont échappé au bac à sable et contourné une liste d’API interdites sur macOS pour gagner 50 000 $.

L’équipe STAR Labs (@starlabs_sg) a fait la démonstration d’une chaîne d’exploit zero-day ciblant la plateforme de collaboration d’équipe SharePoint de Microsoft qui leur a valu une récompense de 100 000 $ et a réussi à pirater Ubuntu Desktop avec un exploit déjà connu pour 15 000 $.

Synacktiv (@Synacktiv) a remporté 100 000 $ et une Tesla Model 3 après avoir exécuté avec succès une attaque TOCTOU (time-of-check to time-of-use) contre la Tesla – Gateway dans la catégorie automobile. Ils ont également utilisé une vulnérabilité TOCTOU zero-day pour augmenter les privilèges sur Apple macOS et ont gagné 40 000 $.

Oracle VirtualBox a été piraté à l’aide d’une lecture OOB et d’une chaîne d’exploitation de débordement de tampon empilée (d’une valeur de 40 000 $) par Bien Pham de Qrious Security (@bienpnn).

Enfin et surtout, Marcin Wiązowski a élevé les privilèges sur Windows 11 en utilisant une validation d’entrée incorrecte zero-day accompagnée d’un prix de 30 000 $.

Tout au long du concours Pwn2Own Vancouver 2023, les chercheurs en sécurité cibleront des produits dans les catégories des applications d’entreprise, des communications d’entreprise, de l’escalade de privilèges locale (EoP), des serveurs, de la virtualisation et de l’automobile.

Le deuxième jour, les concurrents de Pwn2Own feront la démonstration d’exploits zero-day ciblant Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root et Ubuntu Desktop.

Le dernier jour du concours, les chercheurs en sécurité fixeront à nouveau leurs objectifs sur Ubuntu Desktop et tenteront de pirater Microsoft Teams, Windows 11 et VMware Workstation.

Entre le 22 et le 24 mars, les participants peuvent gagner 1 080 000 $ en espèces et en prix, dont une voiture Tesla Model 3.

Le prix le plus élevé pour le piratage d’une Tesla est maintenant de 150 000 $, et la voiture elle-même. Après la démonstration et la divulgation des vulnérabilités zero-day lors de Pwn2Own, les fournisseurs disposent de 90 jours pour créer et publier des correctifs de sécurité pour toutes les failles signalées avant que l’initiative Zero Day de Trend Micro ne les divulgue publiquement.

Lors du concours Vancouver Pwn2Own de l’année dernière, les chercheurs en sécurité ont gagné 1 155 000 $ après avoir piraté Windows 11 six fois, Ubuntu Desktop quatre fois et démontré avec succès trois jours zéro Microsoft Teams.

Ils ont également signalé plusieurs jours zéro dans Apple Safari, Oracle Virtualbox et Mozilla Firefox et piraté le système d’infodivertissement Tesla Model 3.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *