L’édition printemps 2021 de Pwn2Own Le concours de piratage s’est terminé la semaine dernière le 8 avril avec une égalité à trois entre l’équipe Devcore, OV et les chercheurs de Computest Daan Keuper et Thijs Alkemade.

Un total de 1,2 million de dollars a été attribué pour 16 exploits de haut niveau au cours de l’événement virtuel de trois jours organisé par la Zero Day Initiative (ZDI).

Les cibles avec des tentatives réussies incluaient les systèmes d’exploitation Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop, Windows 10 et Ubuntu Desktop.

auditeur de mot de passe

Certains des principaux faits saillants sont les suivants –

  • Utilisation d’un contournement d’authentification et d’une élévation de privilèges locaux pour prendre complètement le contrôle d’un serveur Microsoft Exchange, pour lequel l’équipe Devcore a récolté 200 000 $
  • Enchaîner une paire de bogues pour réaliser l’exécution de code dans Microsoft Teams, rapportant au chercheur OV 200000 $
  • Un exploit sans clic ciblant Zoom qui utilisait une chaîne de trois bogues pour exploiter l’application de messagerie et obtenir l’exécution de code sur le système cible. (200 000 dollars)
  • L’exploitation d’une faille de débordement d’entier dans Safari et une écriture hors limites pour obtenir l’exécution de code au niveau du noyau (100 000 $)
  • Un exploit visant le moteur de rendu JavaScript V8 pour pirater les navigateurs Google Chrome et Microsoft Edge (Chromium) (100000 $)
  • Tirer parti utilisation-après-libre, condition de concurrence et bogues de dépassement d’entier dans Windows 10 pour passer d’un utilisateur régulier aux privilèges SYSTEM (40 000 $ chacun)
  • Combinaison de trois failles – une fuite de mémoire non initialisée, un débordement de pile et un débordement d’entier – pour échapper à Parallels Desktop et exécuter du code sur le système d’exploitation sous-jacent (40 000 $)
  • Exploiter un bogue de corruption de la mémoire pour exécuter avec succès du code sur le système d’exploitation hôte à partir de Parallels Desktop (40 000 $)
  • L’exploitation d’un bogue d’accès hors limites pour passer d’un utilisateur standard à un utilisateur root sur Ubuntu Desktop (30000 $)

le Vulnérabilités de zoom exploités par Daan Keuper et Thijs Alkemade de Computest Security sont particulièrement remarquables car les failles ne nécessitent aucune interaction de la victime autre que d’être un participant à un appel Zoom. De plus, cela affecte à la fois les versions Windows et Mac de l’application, bien qu’il ne soit pas clair si les versions Android et iOS sont également vulnérables.

Les détails techniques des défauts doivent encore être divulgués, mais dans un déclaration partageant les résultats, la société de sécurité néerlandaise a déclaré que les chercheurs “ont ensuite pu presque complètement prendre le contrôle du système et effectuer des actions telles que allumer la caméra, allumer le microphone, lire les e-mails, vérifier l’écran et télécharger l’historique du navigateur”.

auditeur de mot de passe

Lorsqu’il est contacté pour une réponse, Zoom a déclaré qu’il avait poussé un changement côté serveur pour corriger les bogues, notant qu’il travaillait sur l’incorporation de protections supplémentaires pour résoudre les lacunes de sécurité. L’entreprise dispose d’une fenêtre de 90 jours pour résoudre les problèmes avant qu’ils ne soient rendus publics.

“Le 9 avril, nous avons publié une mise à jour côté serveur qui se défend contre l’attaque manifestée à Pwn2Own sur Zoom Chat”, a déclaré un porte-parole de la société à The Hacker News. “Cette mise à jour ne nécessite aucune action de la part de nos utilisateurs. Nous continuons à travailler sur des mesures d’atténuation supplémentaires pour résoudre pleinement les problèmes sous-jacents.”

La société a également déclaré qu’elle n’avait connaissance d’aucune preuve d’exploitation active par ces problèmes, tout en soulignant que les failles n’ont pas d’impact sur le chat en session dans Zoom Meetings, et que “l’attaque ne peut être exécutée que par un contact externe qui cible a déjà été accepté ou fait partie du même compte organisationnel de la cible. “

La chercheuse indépendante Alisa Esage est également entrée dans l’histoire en tant que première femme à remporter Pwn2Own après avoir trouvé un bogue dans le logiciel de virtualisation Parallels. Mais elle n’a obtenu qu’une victoire partielle pour les raisons que le problème avait été signalé à ZDI avant l’événement.

“Je ne peux que l’accepter comme un fait que ma participation réussie à Pwn2Own a attiré l’attention sur certains points discutables et potentiellement obsolètes dans les règles du concours”, Esage tweeté, ajoutant: “Dans le monde réel, il n’y a pas de” point discutable “. Un exploit brise le système cible ou non.”



Leave a Reply