Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois

Publié le 19 mai 2022 à 17h12

Exploiter des failles de sécurité zero day sur Windows 11, Microsoft Teams et d'autres pour l'argent et pour la gloire, tel est le défi que se sont lancé des experts en cybersécurité lors d'un concours de piratage.

Du 18 au 20 mai 2022, se tient la Pwn2Own Vancouver 2022, une compétition de piratage organisée par l'organisation Zero Day Initiative. Et de grands noms sont tombés sous les tentatives de hack des experts.

Microsoft Teams et Windows 11 tombent à plusieurs reprises

Dans la catégorie des logiciels de communication pour professionnels, c'est Microsoft Teams qui est tombé le premier. Hector « p3rr0 » Peralta est parvenu à exploiter une faille de sécurité prenant la forme d'un défaut de configuration, qui requiert de lancer la calculatrice de Windows pour être capable d'en tirer profit.

Mais Microsoft Teams n'était pas au bout de ses peines puisque deux autres vulnérabilités ont aussi pu être exploitées lors de la première journée de l'événement. Masato Kinugawa a eu recours à une chaîne de trois failles de sécurité relatives à la sandbox, à l'injection de code et à un défaut de configuration pour arriver à ses fins.

L'équipe STAR Labs, composée de Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan et Nguyễn Hoàng Thạch, a quant à elle pu démontrer deux vulnérabilités liées à l'injection et à l'écriture de fichier arbitraire.

La Tesla Model 3 bientôt piratée ?

Ces trois acteurs ont remporté 150 000 dollars de récompense pour avoir attesté avec succès de la présence de ces failles de sécurité au sein de Microsoft Teams.

Windows 11 a aussi droit à son lot de vulnérabilités zero-day. Plusieurs équipes ont réussi à pointer des failles dans le système d'exploitation. STAR Labs a notamment mis la main sur 40 000 dollars supplémentaires pour avoir révélé une vulnérabilité de type Use-After-Free (UAF) permettant une élévation de privilèges sur le système.

Ubuntu Desktop, Mozilla Firefox et Oracle Virtualbox ont également été piratés avec succès. Lors de la seconde journée de ce Pwn2Own Vancouver 2022, les concurrents tenteront d'exploiter de nouvelles failles zero-day sur Windows 11 et Ubuntu Desktop, ainsi que sur le système d'infodivertissement de la Tesla Model 3.

Source : Bleeping Computer

Par Alexandre Schmid

Piratage / Cybercriminalité

Microsoft

Visioconférence

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

stratos

comme quoi permettre l’installation de win 11 sur les « vieux PC » aurait rien changer, la soit disante securité qui contraint a certain CPU.

Bref j’ai win 11 ca marche, mais manque pas mal de chose par rapport a WIN 10 en terme ergonomie

ultrabill

S’agissant d’une faille qui touche l’allocation mémoire, ça n’a pas trop de rapport.

iroteph

Ce qu’il veut dire c’est que la sécurité n’est pas meilleure sur w11, du coup écarter un trop grand nombre de composants compatibles avec w11 n’est pas pertinant…

ChoucrouteGarnie

L’éternel combat entre le sabre et la cuirasse… Les éditeurs de logiciels comblent des failles, les hackers en découvrent d’autres, etc…

Il est difficile, voire impossible, de rendre sûr à 100% un programme ou système d’exploitation dont le code comprend des millions de lignes, d’autant que le programme en question doit aussi interagir avec d’autres, avec lesquels parfois il partage des bibliothèques dynamiques.

J’ai aussi Windows 11 (Pro) sur un de mes PC, et malgré l’ergonomie pas très aboutie, je trouve l’OS plutôt agréable à utiliser. Pour autant, je me méfie des promesses de Microsoft qui affirme que 11 est plus sûr que 10, etc…

Comme toujours, la première source de failles de sécurité se trouve entre la chaise et l’écran…

MattS32

L’existence de failles n’est pas une condition suffisante pour conclure que la sécurité n’est pas meilleure.

ultrabill

T’es en train de dire qu’une ceinture de sécurité ne sert à rien parce qu’elle n’empêche pas de conduire en état d’ivresse.

stratos

ce que je voulais dire, c’est que par un choix de soi-disant augmenter la sécurité on empêche pas mal de materiel qui marchent encore très bien d’avoir win 11 et les mise à jour de sécurités.
Alors que des failles il y en a un peu partout, là c’est l’allocation mémoire, plutard ça sera par autres choses etc…
Au final les PC qui ont tout ce qu’il faut tant mieux et les autres tant pis, on fait comme avant télécharge pas n’importe quoi, donne pas son PC à tout le monde,…

C’est jusque que l’argumentaire d’un PC encore plus sécurisé donc oblige un PC tres récent, est inutile car des failles il y en a comme linus, OSX,…

Bref je préférais avoir le drag and drop dans la barre des taches, pas une micro barre qui montre l’avancement d’une copie de fichier là ou win 10 c’était bien lisible avec la jauge verte, quand on rentre sur le menu click droit de pas avoir la liste en tout petit et galère à cliquer…

MattS32

Encore une fois, c’est pas parce qu’il reste des failles que les sécurités supplémentaires sont inutiles.

Comme le dit @ultrabill juste au-dessus, c’est pas parce que la ceinture de sécurité ne sauve pas tout le monde qu’on doit considérer qu’elle est inutile…

Et quand on implémente l’utilisation de nouveaux dispositifs de sécurité, garder en parallèle une implémentation ne les utilisant pas, ça ça augment le risque de failles… Donc exploiter les dernières fonctionnalités de sécurité matérielles tout en gardant la possibilité de s’en passer, ce n’est pas complètement anodin, et ce ne sont pas que ceux qui ont du vieux matériel qui se retrouvent plus exposés, mais aussi ceux qui ont du matériel récent.

iroteph

Ce n’est pas ce que je dis, microsoft abandonne de nombreux composants sous prétexte de sécurité insuffisante, alors que ce n’est pas le cas, les nouvelles plateforme sont sujettes aux même soucis, d’ailleurs les dispositifs mis en avant sur w11 sont aussi présent sur w10, preuve que c’est de la mauvaise volonté ou complaisance, c’est selon ce que vous voulez comprendre.

ultrabill

Bah si, la restriction côté CPU apporte plus de sécurité mais sur un autre sujet que l’allocation mémoire. Un peu comme un détecteur de fumée et une barrière de piscine : c’est sécurisant mais ça ne s’occupe pas du même problème.