Pwn2Own : un million de dollars pour craquer Microsoft Teams et Zoom
Lors du concours annuel Pwn2Own, les participants ont réussi à pirater Microsoft Teams et Zoom. Ces piratages leur ont permis de remporter 400 000 dollars dans une compétition qui a déjà distribué plus d’un million de dollars de prix. Toutefois, cette édition 2021 du Pwn2Own nous montre avant tout qu’il est possible de cibler les outils de vidéoconférence extrêmement populaires pour prendre le contrôle du PC d’un utilisateur.
Le piratage de Zoom fut le plus remarquable, car à aucun moment la victime ne devait cliquer sur un quelconque lien. Les pirates pouvaient coder leur propre logiciel sur l’ordinateur cible. Si ces pirates informatiques avaient été malveillants, ce logiciel aurait pu servir à espionner le système de l’ordinateur, mais dans le cadre du concours Pwn2Own, les pirates ont simplement lancé une calculatrice, preuve classique d’une attaque réussie. Cet exploit est l’œuvre de Daan Keuper et Thijs Alkemade de Computest, une société de sécurité basée aux Pays-Bas. Comme l’indique dans un billet de blog Zero Day Initiative (ZDI), le programme mis en place par le leader mondial des solutions et logiciels de sécurité Trend Micro, les deux concurrents ont « utilisé une chaîne de trois bogues pour exploiter Zoom messenger et obtenir l’exécution de code sur le système cible, le tout sans que la victime ne clique sur quoi que ce soit. »
Selon ZDI, un hacker répondant au nom de OV a remporté 200 000 dollars en « combinant une paire de bogues pour prouver l’exécution de code sur Microsoft Teams. » De nombreux autres outils Microsoft ont été également piratés dans le cadre du concours Pwn2Own, notamment Windows 10 et Exchange. L’équipe DEVCORE a trouvé une vulnérabilité de contournement d’authentification et une faille qui leur a permis de prendre le contrôle complet d’un serveur Exchange. Compte tenu de la récente vague d’attaques informatiques sur des dizaines de milliers de serveurs Exchange, dont la Chine serait à l’origine, il est de plus en plus urgent de garantir la sécurité de l’outil de messagerie électronique de Microsoft.
Le public recevra davantage de détails sur ces piratages une fois les vulnérabilités corrigées. Ni Microsoft ni Zoom n’ont répondu aux demandes de renseignements formulées par Forbes, mais il est presque certain que ces deux sociétés travaillent actuellement sur des correctifs, étant donné que les concurrents doivent divulguer les vulnérabilités qu’ils ont découvertes aux fournisseurs.
Cette année, ZDI a annoncé que le concours Pwn2Own a atteint un record avec plus d’un million de dollars de prix distribués. Durant le dernier jour du concours, les hackers s’attaqueront aux faiblesses d’Exchange, de Windows 10 et au système d’exploitation d’Ubuntu et du logiciel Parallels.