Le concours d’exploitation Pwn2Own de Toronto commence avec 40 000 $ US attribués

La première Édition torontoise du concours de piratage Pwn2Own de Trend Micro a commencé mardi, avec des individus ou des équipes d’un certain nombre de pays tentant de s’introduire dans des produits de consommation dans l’espoir de gagner une part de centaines de milliers de dollars en prix.

En moins de deux heures, deux équipes avaient chacune remporté 20 000 $ US. À la fin de la journée, 400 000 $ US avaient été attribués pour la découverte de 26 bogues.

“Cet événement sera notre plus important jamais organisé, avec 26 équipes tentant 66 exploits contre diverses cibles”, a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez Zero Day Initiative de Trend Micro, dans une interview.

Tenu au bureau de Trend Micro à Toronto, il devrait durer quatre jours.

Les participants – qui tenteront de casser des appareils de bureau à domicile ou mobiles en créant des exploits uniques – participeront sur site ou à distance depuis un certain nombre de pays, dont le Canada, les États-Unis, l’Allemagne, la France, les Pays-Bas, le Vietnam et la Corée du Sud. .

Ils essaient de s’introduire dans une imprimante multifonction Canon, un routeur Wi-Fi TP-Link, un haut-parleur sans fil Sonos, un téléphone intelligent Samsung Galaxy S22, etc.

Lancé pour la première fois en 2007 lors de la conférence CanSec West de Vancouver – et un événement régulier depuis lors – le concours Pwn2Own met au défi les pirates informatiques de pénétrer dans des appareils que les fabricants de matériel informatique et de logiciels jugent sûrs. Les cibles, annoncées avant le concours afin que les participants puissent se préparer, peuvent aller des navigateurs à une Tesla 3. Dans la plupart des cas, l’équipe ou la personne qui s’introduit dans l’appareil en devient propriétaire – d’où le nom du concours – et/ou gagne un prix parce que Trend Micro achète l’exploit. Les vendeurs découvrent les faiblesses de leurs produits.

Et les participants doivent travailler pour gagner. Ils ont trois tentatives de cinq minutes pour démontrer leur exploit en prenant complètement le contrôle d’un système. « Il ne s’agit pas seulement d’un code de preuve de concept ou d’un simple débogage », a déclaré Childs. “Ils doivent montrer l’exécution réelle du code sur la cible.”

En cas de succès, le gagnant se rend dans une arrière-salle physique ou virtuelle pour donner aux juges des détails sur son travail, pour prouver qu’il s’agit vraiment d’un exploit inconnu du jour zéro. De plus, le fabricant du produit doit vérifier sur place qu’il n’a pas entendu parler de l’exploit auparavant. Ce n’est qu’alors qu’un gagnant est officiellement déclaré.

Pour l’événement de Toronto, des prix allant de 5 000 $ US à 100 000 $ US pour chaque exploit sont disponibles. Childs pense qu’un million de dollars américains pourraient être attribués cette semaine.

En plus de Toronto, des concours Pwn2Own ont eu lieu cette année à Vancouver et à Miami. Chaque concours a un thème. Traditionnellement, Vancouver se concentre sur les produits d’entreprise, y compris les systèmes d’exploitation. Le thème de Miami était les contrôleurs industriels et les dispositifs SCADA.

En avril, les participants à l’événement de Miami ont gagné 400 000 USD pour avoir démontré 26 exploits et collisions de bogues. En mai, Les participants de Vancouver ont gagné 1,15 million de dollars américains pour avoir montré 25 exploits uniques du jour zéro.

Childs a déclaré que Toronto avait été choisie parce que Trend Micro y avait un bureau assez grand, que la ville avait de bonnes relations internationales (bien qu’il ait admis que faire venir des participants ici en décembre était un défi) et qu’elle avait la capacité de fournir des choses dont les organisateurs pourraient manquer. Par exemple, a-t-il dit, ils ont dû vider les magasins BestBuy de Toronto d’un certain modèle de routeur Netgear.

Les gagnants de mardi matin comprenaient une équipe de Nettitude, société de tests d’intrusion basée au Royaume-Uniqui a exécuté une attaque par débordement de mémoire tampon basée sur la pile contre l’imprimante Canon imageCLASS MF743Cdw.

Une équipe appelée Qrious Secure a exécuté deux attaques de bogue (un contournement d’authentification et une injection de commande) contre l’interface WAN d’un routeur TP-Link AX1800.

MISE À JOUR : Voici le reste des gagnants du premier jour :

– Horizon3 AI a pu exécuter son attaque par injection de commande en faisant jouer de la musique à une imprimante Lexmark MC3224i. Ils gagnent 20 000 USD ;

–Gaurav Baruah a pu exécuter son attaque par injection de commande contre l’interface WAN du Synology RT6600ax dans la catégorie Routeur, gagnant 20 000 USD ;

–Interrupt Labs a pu exécuter son attaque par débordement de mémoire tampon basée sur la pile lors de la troisième et dernière tentative contre l’imprimante HP Color LaserJet Pro M479fdw pour gagner 20 000 USD ;

–STAR Labs a pu exécuter son attaque de validation d’entrée incorrecte lors de sa troisième tentative contre le Samsung Galaxy S22 pour gagner 50 000 USD ;

–Computest a pu exécuter son attaque du shell racine par injection de commandes contre l’interface LAN du routeur Synology RT6600ax pour gagner 5 000 USD ;

–Chim a pu exécuter son attaque de validation d’entrée incorrecte contre le Samsung Galaxy S22 pour gagner 25 000 $ US ;

— Interrupt Labs a pu exécuter deux bogues (injection SQL et injection de commande) sur l’interface LAN d’un routeur Netgear pour gagner 5 000 USD ;

–Devcore est devenue la première équipe à exécuter avec succès deux attaques différentes par débordement de tampon basées sur Stack contre un routeur Mikrotik et une imprimante Canon dans la nouvelle catégorie SOHO Smashup pour gagner 100 000 $ US ;

— Claroty Research a pu exécuter une chaîne de trois bogues (deux auth manquantes pour une fonction critique et un contournement d’authentification) contre le Synology DiskStation dans la catégorie NAS. gagner 40 000 USD ;

–L’équipe Viettel a pu exécuter deux bogues (dont une injection de commande) lors d’une attaque contre une imprimante HP Color LaserJet Pro pour gagner 10 000 USD ;

— ASU SEFCOM a pu exécuter son attaque OOB Write contre le Synology DiskStation DS920+ dans la catégorie NAS pour obtenir l’exécution de code. Cependant, l’un des exploits qu’ils ont utilisés était déjà connu du public. Ils gagnaient quand même 10,00 $ US ;

–Claroty Research a pu exécuter cinq bogues différents lors d’une attaque contre l’interface LAN d’un routeur Netgear pour gagner 2 500 $ US ;

–NCC Group EDG a pu exécuter son attaque par injection de commande contre l’interface LAN d’un routeur Synology. Cependant, l’exploit qu’ils ont utilisé a été exploité plus tôt dans la compétition. Ils gagnaient quand même 1 250 dollars US ;

–Neodyme est devenue la deuxième équipe à triompher dans la nouvelle catégorie SOHO Smashup en exécutant une attaque utilisant trois bogues contre un routeur Netgear et une imprimante HP pour gagner 50 000 $ US ;

— Tri Dang de Qrious Secure a exploité avec succès l’interface LAN d’un routeur Netgear, mais il a été considéré comme une collision en raison d’un exploit antérieur. Ils gagnaient tout de même 1 250 dollars américains.