Auteur Sujet: Le concours de hacking Pwn2Own a ditribué 833 000 $ a une équipe  (Lu 1362 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
Le concours de hacking Pwn2Own a fêté son 10ème anniversaire.

Le but de ce concours : Des chercheurs en sécurité informatique essaient de pénétrer des ordinateurs équipés d'un système d'exploitation et de divers logiciels incluant un navigateur web entièrement mis à jour.

Pwn2Own propose de hacker Google Chrome, Microsoft Edge, Mozilla Firefox et Safari avec Flash installé.
Il est aussi possible d'utiliser Adobe Reader pour faire un hack.
Coté système d'exploitation, il y a Windows 10, MacOS X et Ubuntu avec les dernières mises à jour.
La virtualisation est aussi présente avec VMWare Workstation et le top est de hacker le système hôte, depuis un navigateur sur le système invité.

Les vulnérabilités découvertes sont données  leur éditeurs pour correction et ne sont publiés qu’après correction.
Ce type de concourt permet donc d'accroître la sécurité informatique en corrigant des bug.

A noter que la plus grosses récompense concernait Apache Web Server sur Ubuntu Server (récompense de 200 000$) mais que les participants n'ont pas relevés le défit (C'est une bonne nouvelle pour Apache qui semble avoir un navigateur bien sécurisé).

Génération-NT fait le bilan :

L'équipe 360 Security de l'éditeur chinois Qihoo a réalisé le hack le plus rémunérateur avec un échappement complet de machine virtuelle.

Elle a ainsi obtenu 105 000 $ pour avoir exploité une vulnérabilité de dépassement de tas dans le navigateur Microsoft Edge qui a été enchaînée avec une vulnérabilité de confusion de type dans le noyau Windows, puis en tirant parti d'un tampon non initialisé dans VMware Workstation.

Selon les règles du concours, pour cet échappement de machine virtuelle (Guest-to-Host), une tentative devait être lancée depuis le système d'exploitation invité à partir d'un compte non administrateur et avec une exécution de code arbitraire sur le système d'exploitation hôte. Les systèmes d'exploitation invité et hôte étaient tous deux Windows 10 en 64 bits.

Le défi d'un échappement de machine virtuelle avait été introduit pour la première dans l'édition 2016 du Pwn2Own mais il n'y avait pas eu une la moindre tentative à l'époque. Cette année, outre l'équipe 360 Security de Qihoo, l'équipe Sniper de Tencent Security - un autre éditeur chinois - a également réussi. Un succès à 100 000 $ grâce à une vulnérabilité d'utilisation après libération dans le noyau Windows, une fuite de données et un tampon non initialisé dans WMware Workstation. Les outils VMware n'étaient pas installés dans l'invité.


À l'issue des trois jours du concours, c'est l'équipe 360 Security de Qihoo qui a été sacrée Master of Pwn. Un total de 51 vulnérabilités 0-day ont été mises au jour et la somme de 833 000 $ sera reversée aux participants. Les éditeurs concernés vont pouvoir corriger ces vulnérabilités, sachant qu'il n'y aura pas de divulgation publique entre-temps.

Et aussi...

Parmi les produits affectés : Windows 10, macOS Sierra, Ubuntu Linux (desktop), VMWare Workstation, Microsoft Edge, Safari, Firefox, ainsi que Adobe Reader et Adobe Flash. On notera qu'une tentative ayant ciblé Google Chrome a échoué dans les délais impartis.

Pour Ubuntu (16.10), il s'agissait de sa première apparition au Pwn2Own. L'équipe Chaitin Security Research Lab - des hackers… chinois - a tiré parti d'une vulnérabilité présente au niveau du noyau Linux 4.8 pour procéder à une élévation de privilèges. L'attaque devait être lancée depuis un compte non administrateur ou non root.

La plus grosse cible de cette édition 2017 était Apache Web Server sur Ubuntu Server avec une récompense de 200 000 $ à la clé. Ce sera pour une prochaine fois. Aucun participant n'a relevé le défi.

Rappelons que dans le cadre du Pwn2Own, toutes les cibles disposent d'un environnement logiciel à jour. Un exploit doit être nouveau, et de fait non corrigé, même dans des versions bêta.


Source : Génération-NT, le 20 mars 2017 par Jérôme G.