À l'occasion de l'édition 2017 du concours de hacking Pwn2Own qui vient de se dérouler en marge de la conférence de sécurité informatique CanSecWest à Vancouver au Canada, l'équipe 360 Security de l'éditeur chinois Qihoo a réalisé le hack le plus rémunérateur avec un échappement complet de machine virtuelle.

Elle a ainsi obtenu 105 000 $ pour avoir exploité une vulnérabilité de dépassement de tas dans le navigateur Microsoft Edge qui a été enchaînée avec une vulnérabilité de confusion de type dans le noyau Windows, puis en tirant parti d'un tampon non initialisé dans VMware Workstation.

Selon les règles du concours, pour cet échappement de machine virtuelle (Guest-to-Host), une tentative devait être lancée depuis le système d'exploitation invité à partir d'un compte non administrateur et avec une exécution de code arbitraire sur le système d'exploitation hôte. Les systèmes d'exploitation invité et hôte étaient tous deux Windows 10 en 64 bits.

Le défi d'un échappement de machine virtuelle avait été introduit pour la première dans l'édition 2016 du Pwn2Own mais il n'y avait pas eu une la moindre tentative à l'époque. Cette année, outre l'équipe 360 Security de Qihoo, l'équipe Sniper de Tencent Security - un autre éditeur chinois - a également réussi. Un succès à 100 000 $ grâce à une vulnérabilité d'utilisation après libération dans le noyau Windows, une fuite de données et un tampon non initialisé dans WMware Workstation. Les outils VMware n'étaient pas installés dans l'invité.

Résultats du troisième jour du concours et classement final

À l'issue des trois jours du concours, c'est l'équipe 360 Security de Qihoo qui a été sacrée Master of Pwn. Un total de 51 vulnérabilités 0-day ont été mises au jour et la somme de 833 000 $ sera reversée aux participants. Les éditeurs concernés vont pouvoir corriger ces vulnérabilités, sachant qu'il n'y aura pas de divulgation publique entre-temps.

Et aussi...

Parmi les produits affectés : Windows 10, macOS Sierra, Ubuntu Linux (desktop), VMWare Workstation, Microsoft Edge, Safari, Firefox, ainsi que Adobe Reader et Adobe Flash. On notera qu'une tentative ayant ciblé Google Chrome a échoué dans les délais impartis.

Pour Ubuntu (16.10), il s'agissait de sa première apparition au Pwn2Own. L'équipe Chaitin Security Research Lab - des hackers… chinois - a tiré parti d'une vulnérabilité présente au niveau du noyau Linux 4.8 pour procéder à une élévation de privilèges. L'attaque devait être lancée depuis un compte non administrateur ou non root.

La plus grosse cible de cette édition 2017 était Apache Web Server sur Ubuntu Server avec une récompense de 200 000 $ à la clé. Ce sera pour une prochaine fois. Aucun participant n'a relevé le défi.

Rappelons que dans le cadre du Pwn2Own, toutes les cibles disposent d'un environnement logiciel à jour. Un exploit doit être nouveau, et de fait non corrigé, même dans des versions bêta.