Des chercheurs en sécurité ont piraté Microsoft Edge et Mozilla Firefox et ont remporté un prix de 270 000 dollars lors d'un événement de piratage informatique Pwn2Own.

Le navigateur Firefox 66 a été annoncé le 19 mars. La société a donc laissé des pirates informatiques l’attaquer afin de détecter les failles de sécurité potentielles.

Les chercheurs ont identifié deux problèmes dans le navigateur Web. Dès le lendemain, la société a décidé de publier un correctif pour corriger les deux problèmes dans la mise à jour de Firefox 66.0.1.

Pour ceux qui ne connaissent pas Pwn2Own, il s’agit essentiellement d’un concours annuel de piratage. Il offre aux chercheurs en sécurité une excellente occasion de démontrer de nouveaux bogues jour zéro.

En échange de leurs efforts, le programme Zero Day Initiative (ZDI) de Trend Micro les récompense avec une belle somme.

Le duo @fluoroacétate le fait à nouveau. Ils ont utilisé une confusion de type dans #Edge, une condition de concurrence dans le noyau, puis une écriture hors limites dans #VMware pour passer d'un navigateur dans un client virtuel à l'exécution de code sur le système d'exploitation hôte. Ils gagnent 130 000 $ plus 13 points Master of Pwn. pic.twitter.com/mD13kozJLv

- Initiative Zero Day (@thezdi) le 21 mars 2019

Pwn2Own Roundup

Les chercheurs qui ont démontré de nouvelles vulnérabilités dans Oracle VirtualBox, Apple Safari et VMware Workstation ont reçu 240 000 USD le premier jour de Pwn2Own 2019.

À l'approche du deuxième jour, ZDI a alloué 270 000 USD aux chercheurs qui ont identifié de nouveaux bogues dans les navigateurs Edge et Mozilla Firefox de Microsoft.

Voici comment les chercheurs ont réussi à pirater Edge:

C'est tout ce qu'il fallait pour passer d'un navigateur dans un client de machine virtuelle à l'exécution de code sur l'hyperviseur sous-jacent. Ils ont commencé avec un bogue de confusion de types dans le navigateur Microsoft Edge, puis ont utilisé une condition de concurrence critique dans le noyau Windows, suivie d'une écriture hors limites sur le poste de travail VMware.

Plus important encore, Richard Zhu et Amat Cama, officiellement connus sous le nom de Fluoroacétate, ont démontré que le défaut d’escalade du noyau dans Firefox 66 était récompensé par un prix de 50 000 $. Niklas Baumstark a utilisé une technique d’évasion de type bac à sable pour exploiter Firefox 66.0 et a reçu une récompense de 40 000 dollars.

Toutes ces vulnérabilités ont été signalées à Microsoft et Mozilla, et les sociétés qui travaillent sur les correctifs devraient être publiées dans les prochaines mises à jour.