Le traditionnel concours de hacking Pwn2Own a eu lieu la semaine dernière en marge de la conférence de sécurité informatique CanSecWest à Vancouver au Canada. Organisé par Zero Day Initiative de Trend Micro, il sacre Richard Zhu - alias fluorescence - comme Master of Pwn.
Sur les deux jours du concours, il a engrangé 12 points et a gagné 120 000 $. Au total, la somme de 267 000 $ sera reversée aux participants.
Congrats to @RZ_fluorescence on being named Master of Pwn for #Pwn2Own 2018! His exploits for Edge and Firefox earned him $120,000, this sweet jacket, and the trophy. We hope he returns in the future to defend his title. pic.twitter.com/ljKhmjJrHn
— Zero Day Initiative (@thezdi) 16 mars 2018
Richard Zhu a exploité deux bugs d'utilisation d'une zone mémoire après sa libération affectant le navigateur Microsoft Edge, et un dépassement d'entier dans le noyau Windows pour exécuter avec succès son code avec des privilèges élevés.
Son autre succès porte sur le navigateur Firefox de Mozilla et une élévation de privilèges dans le noyau Windows. Par contre, il a échoué pour un échappement de la sanbox en prenant pour cible Safari sur macOS. En dépit de cet échec, les bugs mis en évidence ont été rachetés dans le cadre du programme habituel de ZDI (et non du concours).
Pour le Pwn2Own, les participants venus avec leurs exploits - jusqu'à présent inconnus - disposaient de 30 minutes et trois essais pour en faire la démonstration. Des navigateurs à jour, tout comme le système d'exploitation hôte.
Avec les autres participants, le navigateur Safari est bel et bien tombé, que ce soit avec un échappement de la sandbox ou avec une élévation de privilèges du noyau macOS. Un succès partiel s'inscrit dans un autre registre avec pour cible la solution de virtualisation Oracle VirtualBox.
Georgi Geshev, Fabi Beterke, Niklas Baumstark, Samuel Groß, Richard Zhu et Alex Plaskett ; crédit : ZDI
Lors du Pwn2Own, les vulnérabilités mises au jour ne sont pas divulguées publiquement. Prévenus, les éditeurs concernés ont 90 jours pour développer des correctifs. Mozilla prouve sa grande réactivité avec déjà la correction d'une faille qui a été identifiée pendant le concours, et affectant le traitement de données audio Vorbis. C'est notamment le pourquoi de la mise à jour Firefox 59.0.1 de vendredi.
Plusieurs défis proposés n'ont pas été relevés cette année. Par ailleurs, la somme reversée de 267 000 $ au total peut paraître maigre (833 000 $ en 2017), sachant que le concours était doté de 2 millions de dollars.
Il faut dire que l'édition 2018 a fait sans la présence d'équipes chinoises particulièrement douées dans cet exercice et habituées à la première place. En début de mois, Brian Gorenc de Zero Day Initiative a expliqué a CyberScoop qu'en raison de changements dans les législations de certains pays, des ressortissants ne sont plus autorisés à participer à des concours comme le Pwn2Own.
Il faut ici essentiellement comprendre la Chine qui ne veut plus que ses hackers talentueux partagent des exploits lors de tels concours. Ils sont néanmoins encouragés à faire état de leurs trouvailles directement aux éditeurs concernés.
