La semaine dernière au Canada, à la conférence CanSecWest, s’est déroulé le concours annuel Pwn2Own 2019, organisé par la Trend Micro Zero Day Initiative (ZDI). Le fonds de récompense de l’événement cette année était supérieur à un million de dollars. Mais les concurrents ont remporté non seulement de l’argent, par exemple, une équipe a réussi à pirater la voiture Tesla Model 3 et à la laisser pour eux-mêmes.
Lors du premier jour de la compétition, Apple Safari, Oracle VirtualBox et VMware Workstation ont été piratés, ce qui a rapporté aux chercheurs 240 000 USD. L’équipe Fluoroacétate a obtenu les meilleurs résultats, notamment Amat Cama et Richard Zhu, qui est devenu le concurrent le plus productif l’année dernière et a remporté le titre de Master of Pwn.
C’est Fluoroacetate qui a été démontré par des exploits fonctionnels pour Safari (un débordement total et un tas entrainant un échappement Sandbox), Oracle VirtualBox (élévation de privilèges et exécution de code arbitraire) et VMware Workstation (un échappement de machine virtuelle et une exécution dans le système d’exploitation hôte). Tout cela a rapporté à l’équipe 55 000 $, 35 000 $ et 70 000 $, respectivement. Ainsi, après le premier jour de compétition, le fluoroacétate avait déjà 160 000 $.
Également le premier jour, l’explorateur anhdaden de STAR Labs (35 000 $) a présenté son exploit pour Oracle VirtualBox (phoenhex & qwerty) et a démontré un contrôle total sur le système en exploitant les vulnérabilités d’Apple Safari (45 000 $).
Le deuxième jour de Pwn2Own, des experts en sécurité ont démantelé les navigateurs Mozilla Firefox et Microsoft Edge. Ici, le meilleur résultat a encore montré les gars de Fluoroacetate.Premièrement, ils ont présenté un exploit pour Firefox qui utilise le bogue JIT (Just-in-Time) et le problème d’écriture au-delà des limites de la mémoire allouée dans le noyau Windows. En conséquence, l’exécution du code au niveau système a été démontrée et, pour résoudre les problèmes, il suffisait d’aller sur le site Web malveillant de chercheurs utilisant Firefox. Cela a rapporté à l’équipe 50 000 $.
Le piratage complet d’Edge, qui comprenait l’échappement d’une machine virtuelle, une situation de concurrence critique dans le noyau et un bug de confusion des types dans le navigateur lui-même. La combinaison de ces vulnérabilités a aidé les spécialistes à faire en sorte que le navigateur s’exécutant sur la machine virtuelle exécute du code arbitraire sur le système d’exploitation hôte. Ce hack a ajouté 130 000 dollars à la tirelire Fluoroacétate.
En outre, le deuxième jour du concours, Niklas Baumstark, 40 000 USD pour le bogue JIT et la vulnérabilité logique dans Firefox, et Arthur Gerkis d’Exodus Intelligence, 50 000 USD pour l’évasion du bac à sable. Microsoft Edge.
Le troisième jour du concours a été consacré au piratage automobile. Le fait est que cette année, les participants ont été invités à pirater la voiture Tesla Model 3 et deux équipes ont posé leur candidature pour participer: Fluoroacetate et Team KunnaPwn. Malheureusement, le matin du troisième jour, on a appris que Team KunnaPwn avait retiré sa candidature et ne voulait pas participer à la compétition. Seuls Zhu et Kama ont finalement brisé la voiture.
L’équipe Fluoroacétate a démontré que le système d’infotainment pour voitures avait été compromis. Les experts exécutaient le code JIT lors du rendu du navigateur, accédaient au micrologiciel de la voiture et parvenaient à afficher leur propre message via le système multimédia.
Le compromis réussi du modèle 3 Tesla a non seulement rapporté 35 000 dollars supplémentaires à l’équipe, mais a également permis aux spécialistes de conserver la voiture piratée (selon les règles de Pwn2Own, tous les dispositifs piratés vont aux chercheurs). Les représentants de Tesla ont promis de résoudre les problèmes découverts par les experts dans les prochains jours.
En conséquence, les participants à Pwn2Own ont gagné cette année un total de 545 000 dollars US, dont 375 000 sont allés à l’équipe Fluoroacétate. Zhu et Kama ont à nouveau reçu le titre de Master of Pwn, c’est-à-dire les pirates informatiques les plus performants de l’année.