Zoom, Teams, Safari, Chrome et Windows 10 craqués au Pwn2own 2021



Zoom, Teams, Safari, Chrome et Windows 10 craqués au Pwn2own 2021

Lors du célèbre concours de hacking Pwn2own 2021, des chercheurs en cybersécurité ont réussi à déjouer la sécurité de plusieurs services comme Zoom ou Teams, mais aussi les navigateurs (Safari, Chrome et Edge) et les OS (Windows 10 et Ubuntu).

Traditionnellement en marge de la CanSecWest à Vancouver au Canada, le concours de hacking Pwn2own a migré à Austin au Texas avec des sessions en virtuelles. Dans cette compétition relevée, des équipes de chercheurs en cybersécurité ont 30 minutes pour tester leurs exploits sur différents services, navigateurs, OS, mais aussi des solutions de collaboration comme Teams et Zoom. Et la moisson a été bonne cette année avec pas moins de 1,2 million de dollars de récompenses attribuées sur l’ensemble de l’évènement.


Zoom et Teams mis en défaut


Dans le détail, la prime la plus haute – 200 000 dollars – est octroyée pour des failles autorisant de l’exécution de code sur un serveur ou sur une plateforme de messagerie. Une équipe a atteint ce montant en prenant le contrôle d’un serveur Exchange. On sait que ce sujet est particulièrement sensible chez Microsoft après le piratage récent des plateformes Exchange avec la faille Proxylogon.


Deux autres équipes ont également obtenu la plus haute récompense en déjouant la sécurité de Teams et de Zoom Messenger. Là encore, avec la persistance du télétravail dans le cadre de la pandémie, les questions de sécurité des solutions de visioconférences sont importantes pour les éditeurs.


La paire Edge/Chrome faillible


Les navigateurs Chrome et Edge, ainsi que Safari d’Apple ont été craqués, offrant ainsi une prime aux chercheurs de 100 000 dollars. On notera qu’avec l’intégration du moteur Chromium dans le navigateur de Microsoft, les équipes peuvent se focaliser sur les mêmes failles pour les deux navigateurs.


Les OS ne sont pas épargnés notamment Windows 10 qui concentre trois attaques accordant des élévations de privilèges (pour une prime de 40 000 dollars). Ubuntu Desktop est également compromis avec trois exploits autorisant des élévations de privilèges, la prime est cependant moindre à 30 000 dollars. Au final, le seul service a ne pas avoir été mis en déroute dans le temps imparti est l’hyperviseur VirtualBox d’Oracle.




Pour plus d’information : https://www.lemondeinformatique.fr/actualites/lire-zoom-teams-safari-chrome-et-windows-10-craques-au-pwn2own-2021-82562.html

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité