Pwn2Own : les hackers ont hacké !

Le par  |  4 commentaire(s)
Hacker

L'édition 2016 du concours de hacking Pwn2Own se solde par la découverte de 21 vulnérabilités 0-day et 460 000 dollars reversés aux participants.

Évoquée le mois dernier dans nos colonnes, l'édition 2016 du concours de hacking Pwn2Own vient de prendre fin en marge de la conférence de sécurité CanSecWest au Canada. Parrainée par Hewlett Packard Enterprise (HPE) et Trend Micro, elle a permis de mettre au jour 21 nouvelles vulnérabilités de sécurité.

Pour leurs versions les plus à jour, ces failles 0-day (sans correctif) affectent les systèmes d'exploitation Windows 10 (6 vulnérabilités) et OS X El Capitan (5), les navigateurs Microsoft Edge (2), Google Chrome (1) et Safari (3), ainsi que Flash Player (4). On rappellera que Firefox ne faisait pas partie des cibles.

À l'issue des deux jours de compétition, et même si quelques tentatives de compromission ont échoué, le montant total des récompenses s'élève à 460 000 dollars. Les équipes de hackers étaient asiatiques avec trois équipes sous l'égide de Tencent, une autre formée par Qihoo 360, et le hacker sud-coréen connu sous le pseudonyme de lokihardt.

C'est notamment grâce à ce même lokihardt que le jailbreak d'iOS 9.1 a récemment été rendu disponible par Pangu. De son vrai nom JungHoon Lee, il s'était déjà distingué lors de la précédente édition du Pwn2Own. Cette année, son plus bel exploit (et le plus beau du concours) a été une attaque d'exécution de code à l'encontre de Microsoft Edge dans le contexte Système.

Pour cela, Christopher Budd, Global Threat Communications Manager chez Trend Micro, explique que lokihardt a exploité un problème de traitement de variables non initialisées dans Microsoft Edge et une technique de répertoire transversal dans Windows pour obtenir un privilège Système. Le hacker quitte le Pwn2Own avec en poche 145 000 $.

L'équipe qui a marqué le plus de points est cependant la Team Sniper de Tencent Security. Toutes ses tentatives ont été victorieuses et elle repart avec 142 500 $ et le titre de " Master of Pwn ". Le total des points est calculé par la somme des succès et en fonction de la cible.

Pwn2Own-2016
Crédit photo : HPE

La Team 360Vulcan (Qihoo 360) a marqué autant de points que lokihardt et s'en va avec 132 500 $. Pour la Team Shield de Tencent Security, ce sera 40 000 $.

Comme chaque année avec le Pwn2Own, les éditeurs concernés vont avoir du travail afin de corriger les vulnérabilités affectant leurs produits (pas de divulgation publique). Une mise à jour de Google Chrome ne devrait ainsi pas tarder.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1886299
Le "crime" paie !!
Le #1886392
"okihardt a exploité un problème de traitement de variables non initialisées dans Microsoft Edge et une technique de répertoire transversal dans Windows"
Serieux, ils font comment pour trouver ça ? Ils n'ont pas accès au code source ! Le gars, il se réveille le matin, et il se dit "et si je tentais un traitement de variables non initialisées"..
Le #1886413
Vikingfr a écrit :

"okihardt a exploité un problème de traitement de variables non initialisées dans Microsoft Edge et une technique de répertoire transversal dans Windows"
Serieux, ils font comment pour trouver ça ? Ils n'ont pas accès au code source ! Le gars, il se réveille le matin, et il se dit "et si je tentais un traitement de variables non initialisées"..


Disons qu'il doit avoir des outils adéquats et une connaissance du système bien supérieure à celle de tout un chacun...
Le #1886440


Et pour préciser ses doutes y a clairement le reverse engeneering, qui consiste à retransformer la DLL de windows en du code plus lisible.
A mon avis ces gars là te lise de l'assembleur comme toi tu lirais un bouquin

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]