Lors du concours de piratage de PWN2OWN, les participants ont été invités à compromettre Microsoft Windows 11, Mozilla Firefox, VMware Workstation, Nvidia Container Toolkit parmi d’autres systèmes bien connus.
Les chercheurs en sécurité ont présenté 28 vulnérabilités zéro-jours lors du concours PWN2OWN organisé lors de la conférence Offensivison à Berlin qui s’est terminée samedi. Les défauts ont permis aux pirates éthiques de compromettre les produits logiciels utilisés dans la plupart des entreprises, notamment Microsoft Windows 11, Red Hat Linux pour les postes de travail, Mozilla Firefox, VMware ESXi, VMware Workstation, Oracle VirtualBox, Microsoft SharePoint, Docker, Redis, Chroma, Nvidia Triton Inference Server et Nvidia Container Toolkit.
Le concours PWN2OWN se déroule chaque année lors de conférences de sécurité depuis 18 ans. Il est organisé par l’initiative Zero Day de Trend Micro (ZDI), un programme de primes de bogues grâce auquel les chercheurs peuvent signaler les vulnérabilités aux fournisseurs et être payés pour les signaler. ZDI utilise la connaissance préalable de ces défauts pour développer des règles de protection pour les clients de Trend Micro.
Des équipes participantes de chercheurs ont rassemblé des points et des récompenses monétaires pour des tentatives réussies de présentation de leurs exploits contre les cibles annoncées. Au total, le concours a versé 1 078 750 $, avec 320 000 $ allant à la première place, la société de conseil en cybersécurité basée à Singapour, Star Labs SG.
Exploits d’escalade des privilèges
Les systèmes d’exploitation modernes ont une solide séparation du domaine de sécurité entre l’espace utilisateur et les composants du noyau critique et il est standard de ne pas utiliser les comptes administratifs pour les tâches habituelles.
En raison de ces mesures de sécurité, les exploits d’escalade de privilèges sont devenus une marchandise très précieuse pour les pirates car ils sont nécessaires pour reprendre complètement un système après avoir obtenu l’exécution de code à partir d’un compte limité en trompant un utilisateur pour exécuter des logiciels malveillants ou après avoir explosé une vulnérabilité d’exécution de code distante dans une application qui exécute des privilèges limités.
Au cours du premier jour de l’événement, un chercheur identifié comme citrouille de l’équipe de recherche Devcore a utilisé une vulnérabilité de débordement entier pour augmenter les privilèges sur Red Hat Linux. Le même jour, les chercheurs Hyunwoo Kim et Wongi Lee de Theori ont combiné une fuite d’informations avec un défaut sans usage pour obtenir un accès racine sur Red Hat Linux, bien que l’un des bogues soit déjà connu.
Le premier jour également, le chercheur Marcin Wiązowski a démontré un défaut d’écrire des privilèges du système sur Windows 11, tandis que le chercheur Hyeonjin Choi de l’équipe hors des limites a suivi cela avec un bug de confusion de type pour augmenter les privilèges sur le système d’exploitation de Microsoft.
Le deuxième jour a vu Gerrard Tai de Star Labs SG Pte. Utilisez un défaut de mémoire d’utilisation après-libre pour obtenir une escalade de privilèges sur Red Hat Enterprise Linux.
Le troisième jour, le chercheur Angelboy de Devcore a démontré une escalade de privilège sur Windows 11 en enchaînant deux bogues, mais un était déjà connu de Microsoft. Cela a été suivi par l’équipe StarLabs qui a démontré une mauvaise validation de l’index du tableau sur Windows.
La catégorie a été fermée par le chercheur Miloš Ivanović qui a utilisé un bug de la condition de course pour augmenter les privilèges du système. Dans l’ensemble, il y a eu cinq exploits d’escalade de privilèges démontrés avec succès pour Windows et deux pour Red Hat Linux.
Machine virtuelle et conteneur s’échappe
La virtualisation se trouve au cœur des infrastructures de cloud public et des centres de données privés, permettant aux entreprises d’exécuter leurs charges de travail et applications à l’intérieur de conteneurs isolés ou de serveurs virtuels. Tout défaut qui permet de s’échapper des limites d’une machine virtuelle ou d’un conteneur Linux présente un risque non seulement pour la machine hôte, mais aussi toutes les autres ressources virtualisées qui y s’exécutent.
Au cours de la première journée chez PWN2OWN, les chercheurs de Team Prison Break ont utilisé un débordement entier pour s’échapper d’Oracle VirtualBox dans le système d’exploitation hôte. Cela a été suivi par l’équipe Star Labs qui a utilisé un bogue d’usage après l’effectif de la plate-forme de conteneur de niveau OS de bureau Docker Desktop et d’exécuter du code sur le système d’exploitation sous-jacent.
Le deuxième jour, les chercheurs de Viettel Cyber Security ont exploité une erreur d’écriture hors limites pour réaliser une évasion de VirtualBox Guest to-host et Nguyen Hoang Thach de StarLabs a compromis le VMware Esxi HyperVisor avec un seul bogue de débordement entier – une première histoire de l’histoire du concours, lui bénéficiant de 150,000 $ pour ce bug unique.
Le troisième jour, Nguyen et son collègue de la bouse des étoiles ont utilisé une condition de race TOTOU pour échapper au VM Oracle VirtualBox tandis que Thomas Bouzerar et Etienne Helluy-lefont de Synacktiv ont utilisé un débordement de tampon basé sur un tas pour exploiter la station de travail VMware.
Les chercheurs Nir Ohfeld et Shir Tamari de Wiz Research ont utilisé une initialisation externe du bogue de variables de confiance pour exploiter la boîte à outils NVIDIA Container, un logiciel open source qui permet aux utilisateurs de créer et d’exécuter des conteneurs accélérés par le GPU.
Exécution du code distant dans les navigateurs et les outils d’IA
Mozilla Firefox était la seule cible sur laquelle les exploits ont été tentés dans le contexte et ont été compromis deux fois, le deuxième jour par Edouard Bochin et Tao Yan de Palo Alto Networks avec un écriture hors de l’écriture et le troisième jour par Manfred Paul qui a utilisé un débordement entier dans le rendu du navigateur.
Mozilla a déjà publié des correctifs d’urgence pour ces deux vulnérabilités, désormais suivies sous le nom de CVE-2025-4918 et CVE-2025-4919, les classant comme gravité critique.
En outre, le chercheur Dinh Ho Anh Khoa de Viettel Cyber Security a combiné un défaut de dérivation d’authentification avec un bogue de désérialisation en insécurité pour exploiter Microsoft SharePoint.
Il s’agissait de la première édition du concours à avoir une catégorie AI qui comprenait la base de données de valeur clé Redis en mémoire, la base de données des applications CHROMA AI et le NVIDIA Triton Inference Server, un logiciel de déploiement et d’inférence de modèle AI qui fait partie de la plate-forme AI de NVIDIA. L’ajout était dû au fait que les organisations adoptent rapidement cette technologie et déploient une variété d’outils et de cadres d’IA open source dans le processus, ne les sécurisant pas contre les attaquants externes. Au total, sept des 28 vulnérabilités divulguées au cours de PWN2own cette année provenaient de cette catégorie.
Le premier jour, une équipe de chercheurs de la société de sécurité du cloud Wiz a tenté un exploit contre le serveur d’inférence Nvidia Triton mais n’a pas réussi à le faire fonctionner dans le délai attribué. Cependant, le même jour, Sina Kheirkhah de l’équipe d’invocation et de la cybersécurité de Viettel a réussi à démontrer des exploits séparés contre Nvidia Triton, mais les deux bugs étaient déjà connus du vendeur, bien qu’ils n’aient pas encore été corrigés. Kheirkhah a suivi cela avec un exploit réussi contre la base de données Chrome AI.
Le deuxième jour, les chercheurs Ho Xuan Ninh et Tri Dang de Qrious Secure ont démontré un exploit contre Nvidia Triton qui a combiné quatre bogues. Mohand Acherir et Patrick Venttuzelo de FuzzingLabs ont également démontré un exploit réussi, mais le bug qu’ils ont utilisé était connu par le vendeur.
Également le deuxième jour, les chercheurs Benny Isaacs, Nir Brakha et Sagi Tzadik de Wiz Research ont réussi à exploiter la base de données Redis à l’aide d’un exploit d’utilisation-après.
La dernière journée a vu un autre exploit réussi contre Triton, encore une fois avec un bug qui s’est avéré être connu du vendeur, par une équipe de chercheurs de FPT Nightwolf, ainsi qu’une tentative ratée pour un exploit de Triton de Team Star Labs qui n’a pas pu faire fonctionner leur exploit à temps.
