Le challenge Pwn2Own du projet Zero Day Initiative, fameux concours annuel de hackers (éthiques), s’est terminé la semaine dernière. Les hackers qui y participent cherchent failles et vulnérabilités. Après deux jours, ils ont gagné 1,06 million de dollars sur la cagnotte totale d’environ 1,5 million de dollars.
Alors que Pwn2Own se tient habituellement à Vancouver, en raison du Covid-19, il s’est déroulé cette année à distance, les candidats ayant soumis des exploits par cette voie. En raison de l’augmentation de l’utilisation des plateformes de collaboration telles que Zoom, et Microsoft Teams, les organisateurs ont inclu cette année la catégorie Communications d’entreprise au concours. Et les deux plateformes citées ont été piratées avec succès.
“Les fournisseurs disposent de 90 jours pour traiter les vulnérabilités exploitées pendant l’événement avant qu’elles ne deviennent publiques. Comme cela va donner lieu à des publications dans les mois à venir, les responsables de la sécurité doivent les surveiller et les résoudre le plus rapidement possible“, explique à Solutions Numériques Chris Goettl, Manager of Product Management, Security chez Ivanti. Il nous a détaillé les produits piratés à surveiller.
- Zoom. Il s’agit probablement de l’exploitation la plus vicieuse signalée lors de la compétition. Il suffit pour exploiter la vulnérabilité qu’un utilisateur participe à une réunion. Aucune autre opération de la part de l’utilisateur n’est nécessaire. Zoom signale qu’il a déjà apporté des changements côté serveur pour limiter cette vulnérabilité, mais l’on s’attend à ce qu’il effectue d’autres modifications pour mieux se protéger de cette attaque.
- Microsoft Exchange a été entièrement submergé par une combinaison de contournement de l’authentification et d’escalade des privilèges locaux. Attendez-vous à un correctif pour Exchange Server et sans doute pour l’OS dans les mois à venir, pour corriger cette vulnérabilité. Avec les récentes attaques Zero Day visant Exchange Server, Microsoft va sûrement réagir très rapidement… et les pirates réagiront sans doute eux aussi pour reprendre l’avantage.
- Microsoft Teams a été visé par l’exploitation d’une paire de vulnérabilités permettant aux chercheurs d’exploiter du code dans Microsoft Teams.
- Comme toujours, les navigateurs sont des cibles de choix. Prévoyez des mises à jour de sécurité pour Chrome et Microsoft Edge (Chromium) avec le moteur JavaScript v8, et pour un débordement d’entier dans Safari, qui permet une écriture hors limites en vue d’obtenir l’exécution de code de niveau noyau.
- Parallels Desktop a souvent été ciblé dans la catégorie Virtualisation, et deux exploitations incluant de multiples failles ont réussi.
- Concernant les systèmes d’exploitation, Windows 10 et Ubuntu ont tous deux été exploités avec succès, les deux fois pour escalader les privilèges : d’utilisateur à Système sous Win 10 et d’Utilisateur standard à root pour Ubuntu.