Windows 11, Ubuntu et la Tesla hacké lors de la compétition Pwn2Own 2023

Lors du premier jour de la compétition de hacking Pwn2Own 2023 qui se déroule actuellement à Vancouver, au Canada, les participants sont parvenus à trouver des failles de sécurité dans Windows 11, macOS et le système de la Tesla Model 3. Mais ce n’est pas tout !

Si l’on regarde le programme de ces trois journées de compétition, on voit que les équipes de hackers ont prévu de faire des démos d’exploits zero-day dans une multitude de produits : Adobe Reader, Ubuntu Desktop, Microsoft SharePoint, VirtualBox, Windows 11, macOS, Microsoft Teams, VMware Workstation et le système Tesla. De ce fait, il faudra s’attendre à ce qu’il y ait des correctifs pour ces produits dans les semaines à venir : lorsqu’une faille de sécurité est dévoilée lors de cette compétition, le fabricant dispose de 90 jours pour proposer un correctif. Une fois ce délai dépassé, la Zero Day Initiative rend publiques les informations sur la faille en question.

Au final, lors de cette compétition qui se déroule du 22 au 24 mars 2023, les participants peuvent gagner jusqu’à 1 080 000 dollars en récompense, dont une voiture Tesla Model 3. Avec toujours la possibilité de remporter une voiture Tesla et la somme de 150 000 dollars en piratant une Tesla.

Lorsque la démo est effectuée par une équipe, ce travail est évalué notamment pour valider ou non l’exploit. Si c’est validé, l’équipe remporte de l’argent et des points au classement. Lors de cette première journée, il y a eu une première faille de sécurité validée dans Adobe Reader. En effet, AbdulAziz Hariri de Haboob SA a démontré une attaque contre Adobe Reader en utilisant un ensemble de 6 bugs lui permettant d’échapper à la sandbox et de contourner une liste d’API interdites. Grâce à son travail, il a gagné 50 000 dollars.

On note aussi la découverte d’un exploit dans Windows 11 permettant une élévation de privilèges. Marcin Wiązowski est à l’origine de cette découverte, et il a reçu 30 000 dollars en récompense. Sinon, il y a eu un échec de validation pour un exploit dans Ubuntu.

Par ailleurs, voici les autres failles de sécurité validées :

• Exploit dans Microsoft SharePoint, ce qui permet à STAR Labs de remporter 100 000 dollars
• Exploit dans VirtualBox, ce qui permet à Pham de Qrious Security de remporter 40 000 dollars
• Exploit dans la Tesla Gateway, ce qui permet à Synacktiv de remporter 100 000 dollars
• Exploit dans Ubuntu (mais déjà démontré), ce qui permet à STAR Labs de remporter 15 000 dollars
• Exploit dans macOS, ce qui permet à Synacktiv de remporter 40 000 dollars

Source