Pwn2Own Vancouver a fermé ses portes vendredi (20 mai), avec plus d’un million de dollars attribués pour célébrer les 15 ans de la événement de piratage annuel.

Organisé par la Zero Day Initiative (ZDI) de Trend Micro, le concours a vu des pirates du monde entier s’affronter en personne et virtuellement pour trouver des bogues dans les produits d’un large éventail de fournisseurs, notamment Microsoft, Mozilla et le navigateur Safari d’Apple.

Les participants ont eu la possibilité de gagner à la fois de l’argent et des points, ce qui leur permettrait d’être couronné « Maître de Pwn ».

Une équipe de Star Labs à Singapour, qui participait virtuellement, a été couronnée championne de cette année avec un total de 27 points.

Au total, des prix s’élevant à 1,2 million de dollars ont été décernés pour les 27 vulnérabilités découvertes lors de l’événement, qui fêtait sa 15e année.

Des sponsors, dont Tesla et VMWare, ont également fourni des objectifs pour la compétition, David Berard et Vincent Dehors de Synacktiv découvrant deux bugs uniques menant à une évasion de bac à sable sur le système d’infodivertissement Telsa Model 3.

« L’équipe de Synacktiv a pu prendre en charge à distance le système d’infodivertissement, et ils ont montré comment ils pouvaient se tenir à l’extérieur de la voiture et allumer les essuie-glaces, ouvrir le coffre et faire clignoter les lumières », Dustin Childs, responsable principal des communications chez ZDI de Trend Micro. , Raconté La gorgée quotidienne.

Il a ajouté: « La tentative qui a échoué a tout de même démontré des recherches intéressantes, et nous avons été ravis de les acquérir via une soumission de programme standard. »

A NE PAS MANQUER Pwn2Own Miami : les hackers gagnent 400 000 $ en craquant les plateformes ICS

D’autres découvertes notables incluent l’exploit sans clic de deux bogues, l’injection et l’écriture arbitraire de fichiers, sur Microsoft Teams trouvé par Daniel Lim Wee Soong, Poh Jia Hao, Li Jiantao et Ngo Wei Lin de Star Labs, qui a rapporté à l’équipe 150 000 $, et une configuration incorrecte contre Microsoft Teams trouvée par Hector « p3rr0 » Peralta, d’une valeur également de 150 000 $.

Childs a déclaré: «Nous avons eu un événement passionnant avec plus de 1 000 000 $ attribués aux candidats. Avec autant de tentatives dans la catégorie, nous nous attendions à plusieurs collisions de bogues, mais cela n’a pas été le cas. Presque tout ce qui a été démontré était unique et qualifié pour le paiement maximum.

« C’était intéressant de voir la variété des exploits Microsoft Teams démontrés. Nous avons eu trois entrées réussies, et elles étaient toutes différentes.

« Le plus intéressant – et le plus dangereux – était une entrée sans clic qui pouvait être utilisée pour prendre le contrôle de toute une organisation. C’est l’une des raisons pour lesquelles nous organisons ce concours – pour voir les dernières techniques d’exploitation et aider à obtenir les correctifs avant qu’ils ne soient exploités dans la nature.

« C’est formidable de voir l’évolution du programme au fil des ans. Nous sommes passés d’un petit événement axé sur les navigateurs à plus de 1 000 000 $ deux années de suite. Nous avons célébré notre 15e anniversaire cette année et nous avons hâte de voir où le concours se développera à partir d’ici.

Découvrez toutes les entrées et les paiements ultérieurs via un article de blog de ZDI.