Lors du célèbre concours de hacking Pwn2own 2021, des chercheurs en cybersécurité ont réussi à déjouer la sécurité de plusieurs services comme Zoom ou Teams, mais aussi les navigateurs (Safari, Chrome et Edge) et les OS (Windows 10 et Ubuntu).
Traditionnellement en marge de la CanSecWest à Vancouver au Canada, le concours de hacking Pwn2own a migré à Austin au Texas avec des sessions en virtuelles. Dans cette compétition relevée, des équipes de chercheurs en cybersécurité ont 30 minutes pour tester leurs exploits sur différents services, navigateurs, OS, mais aussi des solutions de collaboration comme Teams et Zoom. Et la moisson a été bonne cette année avec pas moins de 1,2 million de dollars de récompenses attribuées sur l’ensemble de l’évènement.
Zoom et Teams mis en défaut
Dans le détail, la prime la plus haute – 200 000 dollars – est octroyée pour des failles autorisant de l’exécution de code sur un serveur ou sur une plateforme de messagerie. Une équipe a atteint ce montant en prenant le contrôle d’un serveur Exchange. On sait que ce sujet est particulièrement sensible chez Microsoft après le piratage récent des plateformes Exchange avec la faille Proxylogon.
Deux autres équipes ont également obtenu la plus haute récompense en déjouant la sécurité de Teams et de Zoom Messenger. Là encore, avec la persistance du télétravail dans le cadre de la pandémie, les questions de sécurité des solutions de visioconférences sont importantes pour les éditeurs.
La paire Edge/Chrome faillible
Les navigateurs Chrome et Edge, ainsi que Safari d’Apple ont été craqués, offrant ainsi une prime aux chercheurs de 100 000 dollars. On notera qu’avec l’intégration du moteur Chromium dans le navigateur de Microsoft, les équipes peuvent se focaliser sur les mêmes failles pour les deux navigateurs.
Les OS ne sont pas épargnés notamment Windows 10 qui concentre trois attaques accordant des élévations de privilèges (pour une prime de 40 000 dollars). Ubuntu Desktop est également compromis avec trois exploits autorisant des élévations de privilèges, la prime est cependant moindre à 30 000 dollars. Au final, le seul service a ne pas avoir été mis en déroute dans le temps imparti est l’hyperviseur VirtualBox d’Oracle.