Windows 10, Microsoft Exchange et Teams ont été piratés lors du Pwn2Own

0

Au cours de la première journée du Pwn2Own 2021, les participants ont gagné 440 000 $ après avoir exploité avec succès des vulnérabilités jusque-là inconnues dans Windows 10, le serveur de messagerie Exchange et la plate-forme de communication Teams.

Le premier à tomber a été Microsoft Exchange dans la catégorie Serveur après que l’équipe Devcore ait réalisé une exécution de code à distance sur un serveur Exchange en associant un contournement d’authentification et une élévation des privilèges locaux. Cela leur a rapporté 200 000 $ et 20 points de Master of Pwn.

Ensuite, un chercheur en sécurité utilisant le surnom OV a obtenu avec succès l’exécution du code sur Microsoft Teams dans la catégorie Communications d’entreprise en combinant deux failles de sécurité distinctes. Il a également gagné 200 000 $ et 20 points de Master of Pwn.

L’équipe Viettel a gagné 40 000 $ et 4 points de Master of Pwn après avoir élevé leurs privilèges à SYSTEM à partir d’un compte d’utilisateur régulier sur Windows 10 lors de compétition dans la catégorie Elévation locale des privilèges.

Le premier jour, Jack Dates de RET2 Systems a également gagné 100 000 $ après avoir obtenu avec succès une exécution de code au niveau du noyau sur macOS à l’aide d’un débordement d’entier et de bogues d’écriture hors limites sur Safari.

Ryota Shiga de Flatt Security a gagné 30 000 $ pour une faille d’accès hors-limite qui permet de s’implanter sur une machine Ubuntu Desktop.

L’équipe de STAR Labs n’a pas réussi à faire fonctionner ses exploits dans le temps imparti tout en essayant d’exploiter Oracle VirtualBox et Parallels Desktop dans la catégorie Virtualisation.

Le deuxième jour, les compétiteurs de Pwn2Own ont ciblé également Google Chrome, Microsoft Edge (Chromium), Zoom Messenger, tandis que d’autres tenteront d’exploiter d’autres nouvelles failles dans Microsoft Exchange, Windows 10, Ubuntu Desktop et Parallels Desktop.

Une fois que les vulnérabilités sont exploitées et divulguées pendant Pwn2Own, les fournisseurs de logiciels et de matériel ont 90 jours pour développer et appliquer des correctifs de sécurité pour toutes les vulnérabilités signalées.

Au cours du concours Pwn2Own 2021, les chercheurs cibleront dix produits différents dans les catégories Navigateurs Web, Virtualisation, Serveurs, Elévation locale des privilèges et Communications d’entreprise.

Entre le 6 avril et le 8 avril, les participants de Pwn2Own pourront gagner plus de 1 500 000 $ en argent ou en en prix (l’un des prix est une Tesla Model 3).

Team Fluoroacetate a été le premier à remporter une Tesla Model 3 Pwn2Own après avoir piraté le système d’infodivertissement de la voiture il y’a deux ans.

Ils ont également gagné 375 000 $ lors du Pwn2Own 2019 après avoir fait des démonstrations d’exploits pour Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox et Microsoft Edge.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire