Dans le contexte: Pwn2Own est un concours de piratage annuel organisé lors de la conférence sur la sécurité CanSecWest de Vancouver. L’événement accueille généralement des codeurs et des chercheurs de haut niveau qui peuvent démontrer leurs compétences en trouvant et en exploitant les vulnérabilités de sécurité dans les plates-formes logicielles et les produits technologiques populaires.
L’initiative Zero Day Initiative (ZDI) de Trend Micro a annoncé les gagnants du premier tour de Pwn2Own 2023. Cinq participants gagné 375 000 $ en prix sur un pool de plus d’un million de dollars en piratant des systèmes d’exploitation, des logiciels et une voiture Tesla Model 3 très populaires. Les pirates ont trouvé 12 vulnérabilités zero-day en tout.
La société de sécurité offensive Synacktiv a compromis une Tesla Model 3 avec une attaque TOCTOU (time-of-check to time-of-use) dans la catégorie automobile, puis a échappé aux privilèges d’accès sur macOS. L’équipe a remporté le plus d’argent, empochant 140 000 $ et la Tesla piratée. Ses victoires le placent en tête du classement avec 14 points « Master of Pwn » pour la journée.
L’équipe de STAR Labs a gagné 115 000 $ et 11,5 points MoP avec une chaîne d’exploit zero-day ciblant Microsoft SharePoint et piratant avec succès le système d’exploitation Ubuntu Desktop avec un exploit déjà connu. Il entrera dans la deuxième journée de la compétition à la deuxième place.
Cela conclut le premier jour de #P2OVancouver 2023 ! Nous avons attribué 375 000 $ (et une Tesla Model 3 !) pour 12 jours zéro au cours de la première journée du concours. Restez à l’écoute pour la deuxième journée du concours demain ! #Pwn2Own pic.twitter.com/UTvzqxmi8E
– Initiative Zero Day (@thezdi) 22 mars 2023
La troisième place revient au chercheur en sécurité individuelle Abdul Aziz Hariri. Hariri a gagné 50 000 $ et 5 points MoP en démontrant un exploit dans Adobe Reader qui lui a permis d’abuser de plusieurs correctifs « échoués », d’échapper au bac à sable du programme et de contourner une liste d’API interdites sur macOS.
Les quatrième et cinquième du classement sont le chercheur Qrious Security Bien Pham et le pirate individuel Marcin Wiazowski. Pham a gagné 40 000 $ en piratant la VM VirtualBox d’Oracle via une lecture OOB et un débordement de tampon empilé. Wiazowski a réussi à élever les privilèges des utilisateurs sous Windows 11 avec une faille zero-day de validation d’entrée incorrecte d’une valeur de 30 000 $. Malheureusement, les quatre points de Pham et les trois points de Master of Pwn de Wiazowski laissent la paire avec un grand écart pour atteindre la première ou la deuxième place au classement général.
Zero Day Initiative divulguera les détails des vulnérabilités zero-day démontrées lors de Pwn2Own 2023 à leurs éditeurs de logiciels respectifs. Les développeurs auront 90 jours pour publier les correctifs de sécurité. L’organisation divulguera publiquement les failles après cette date limite, quel que soit le statut du correctif.
Au cours de ses trois jours calendrier, Pwn2Own 2023 accueillera des démonstrations d’attaques ciblées dans des catégories telles que les applications et la communication d’entreprise, l’élévation des privilèges locaux, le serveur, la virtualisation et l’automobile. En 2022, le Vancouver hack fest a accordé 1 155 000 $ à des chercheurs en sécurité.
