Windows 10 est victime de pirates informatiques, mais pas de la façon dont vous pourriez penser

Windows 10 est victime de pirates informatiques, mais pas de la façon dont vous pourriez penser

Les pirates de Pwn2Own 2021 ont découvert des bogues dans Windows 10, Chrome et Zoom.

Les chercheurs en sécurité participant au concours de piratage Pwn2Own ont découvert diverses vulnérabilités dans le système d’exploitation Windows 10 de Microsoft.

Au cours des deux premiers jours de l’événement, qui est géré par l’initiative Zero Day, trois exploits Windows 10 ont été identifiés, dont aucun n’avait été documenté auparavant.

Le premier, découvert par Team Viettel, a vu un bug de débordement d’entier abusé pour augmenter les privilèges des utilisateurs, et le même exploit a été réalisé par le chercheur z3ro9 le deuxième jour de l’événement via une faille similaire.

Enfin, Tao Yan de Palo Alto Networks a réussi à modifier les permissions d’un utilisateur régulier aux niveaux SYSTEM en exploitant un bug de condition de concurrence.

S’ils étaient exploités ailleurs, ces exploits auraient pu permettre à des pirates malveillants d’apporter des modifications et d’installer des applications sur des appareils cibles et d’accéder à des systèmes sensibles inaccessibles aux utilisateurs réguliers.

Vulnérabilités Windows 10

Le concours Pwn2Own existe depuis 14 ans maintenant, période au cours de laquelle il est passé d’un petit événement spécifiquement axé sur les navigateurs Web à un tout autre niveau. Cette année, plus d’un million de dollars de prix en argent sont mis à la disposition des participants.

Pour la découverte de leurs bogues Windows 10 respectifs, Yan et z3ro9 ont reçu 40000 $, ainsi qu’une poignée de points Master of Pwn, qui sont utilisés pour déterminer le pirate informatique le plus performant du salon.

Cependant, Windows 10 n’est pas le seul produit à avoir été piraté lors de l’événement. Les chercheurs ont également découvert un bogue de type Mismatch dans les navigateurs Web Google Chrome et Microsoft Edge, tandis qu’une chaîne d’exploit sans clic a été utilisée pour établir l’exécution de code sur un appareil cible via Zoom Messenger.

Le dernier jour de l’événement verra les concurrents se tourner à nouveau vers Windows 10, mais aussi Microsoft Exchange, Ubuntu Desktop et Parallels Desktop.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Translate »