Tesla, Microsoft Teams et d'autres piratés lors de Pwn2Own 2023
Lors de la deuxième journée de Pwn2Own Vancouver 2023, un groupe de chercheurs en sécurité a exploité dix vulnérabilités zero-day dans divers produits, gagnant ainsi 475 000 dollars au total. La Tesla Model 3, la plateforme de communication Teams de Microsoft, la plateforme de virtualisation Oracle VirtualBox et le système d'exploitation Ubuntu Desktop figuraient parmi les cibles de leurs attaques.
David Berard (@p0ly) et Vincent Dehors (@vdehors), de Synacktiv, ont réalisé l'un des exploits les plus remarquables de la journée en réussissant à exploiter la racine non définie de l'infotainment de la Tesla Model 3. Ils ont reçu 250 000 dollars pour avoir démontré une série d'exploits de type "zero-day", y compris un débordement de tas et une écriture hors limites.
Au cours de l'événement, d'autres piratages réussis ont également été réalisés par les chercheurs en sécurité. Par exemple, Thomas Imbert (@masthoon) et Thomas Bouzerar (@MajorTomSec) de Synacktiv ont exploité une chaîne de trois bogues pour élever les privilèges sur un hôte Oracle VirtualBox et ont reçu un prix de 80 000 dollars.
Tanguy Dubroca (@SidewayRE) de Synacktiv a pu démontrer un zero-day de mise à l'échelle de pointeurs incorrects, entraînant une escalade des privilèges sur Ubuntu Desktop, et a reçu 30 000 dollars. L'équipe Viettel (@vcslab) a également gagné 78 000 dollars pour avoir piraté Microsoft Teams via une chaîne de deux bogues et 40 000 dollars supplémentaires pour avoir exploité VirtualBox d'Oracle à l'aide d'un bogue "use-after-free" (UAF) et d'une variable non initialisée.
STAR Labs, basé à Singapour, a remporté la deuxième place, tandis que Team Viettel, du Viêt Nam, a obtenu la troisième place. Qrious Secure et Abdul-Aziz Hariri, de l'entreprise saoudienne Haboob, se sont classés respectivement quatrième et cinquième. Abdul-Aziz Hariri a démontré ses compétences en réussissant à exploiter Adobe Reader sur macOS en moins de 15 secondes.
Outre les exploits susmentionnés, les participants au concours ont également réussi à pirater un ordinateur de bureau Windows 11 entièrement corrigé et ont démontré une attaque en chaîne contre l'hyperviseur VirtualBox d'Oracle avec une escalade des privilèges de l'hôte, ainsi qu'une escalade des privilèges sur Ubuntu Desktop.
Le premier jour de la compétition, un groupe de hackers a démontré 12 exploits de type "zero-day" dans la Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox et macOS, gagnant ainsi une Tesla Model 3 et 100 000 dollars de prix. Synacktiv, le groupe responsable du piratage de la Tesla Model 3, a utilisé un exploit de temps d'utilisation (TOCTOU) pour accéder au véhicule. Les détails de l'exécution du piratage n'ont pas été divulgués afin d'éviter tout risque potentiel pour la sécurité des propriétaires de Tesla.
Tesla était la cible du concours cette année car, selon les organisateurs, "Tesla a presque inventé à lui seul l'industrie de la voiture connectée" : "Tesla a presque inventé à elle seule l'industrie de la voiture connectée. Elle sait mieux que quiconque ce qu'il faut faire pour garder une longueur d'avance sur la concurrence et la communauté des cybercriminels : des tests rigoureux et une recherche permanente de bogues dans les logiciels".
Les fournisseurs disposent de 90 jours pour corriger les vulnérabilités de type "zero-day" qui sont démontrées et divulguées lors de Pwn2Own avant que l'initiative "Zero Day" de Trend Micro ne publie publiquement les détails techniques.
Les sources de cet article comprennent un article de BleepingComputer.