Organisée par Zero Day Initiative (Trend Micro), l'édition printanière 2020 du concours de hacking Pwn2Own a bel et bien eu lieu. Traditionnellement, elle se déroule à Vancouver au Canada en marge de la conférence de cybersécurité CanSecWest. Cette année, il y a évidemment eu du changement.
En raison de la pandémie de Covid-19 et l'impossibilité pour des chercheurs en sécurité de voyager, c'est dans le cadre d'un événement virtuel que cette édition du Pwn2Own s'est déroulée. Les hackers white hat avaient envoyé leurs exploits à l'avance et ils ont été exécutés par les organisateurs du concours lors d'une retransmission en direct.
Getting set up for the first #Pwn2Own entry with the team from @SSLab_Gatech - Yong Hwi Jin (@jinmo123), Jungwon Lim (@setuid0x0_), and Insu Yun (@insu_yun_en). Starts in just a few minutes. pic.twitter.com/vdDykwfu8a
— Zero Day Initiative (@thezdi) March 18, 2020
Événement virtuel ou pas, c'est une nouvelle fois l'équipe Fluoroacetate qui a été sacrée Master of Pwn en marquant le plus de points. Sur les deux jours du concours, six équipes ont participé et des vulnérabilités encore inconnues ont été exploitées avec succès pour Windows, Ubuntu Desktop, macOS et VirtualBox.
Un seul échec avec un exploit ciblant VMware Workstation dont la démonstration n'a pas pu être réalisée dans les délais impartis.
That's a wrap! #Pwn2Own 2020 officially comes to a close. We're happy to award the @fluoroacetate duo the title of Master of Pwn. It was a close event, but their 9 points (& $90K) was just ahead of the team from @SSLab_Gatech. Congrats to all the contestants. pic.twitter.com/vvmduLxwJ5
— Zero Day Initiative (@thezdi) March 20, 2020
L'exploit ayant valu le plus de points (7 points) est revenu à une nouvelle équipe de Georgia Tech Systems Software & Security Lab. Elle a pris pour cible le navigateur Safari d'Apple avec une élévation de privilèges dans le noyau macOS. En tout, un enchaînement de six bugs de sécurité.
Avec un tel concours, les vulnérabilités mises au jour sont communiquées aux éditeurs concernés qui pourront ainsi les corriger. Quelque 270 000 dollars de récompense ont été distribués.
