A l’occasion du concours de hack « Pwn2Own », qui s’est déroulé fin de semaine dernière, les hackers ont fait un double carton plein dans la catégorie « machine virtuelles », au grand dam de VMware, le leader du secteur. Deux groupes de chercheurs en sécurité, envoyés par les sociétés chinoises 360 Security et Tencent Security, ont démontré comment on pouvait s’évader d’une machine virtuelle VMware Workstation pour infecter le système d’exploitation hôte. Ce double exploit est d’autant plus grave que ce type de machines virtuelles est fréquemment utilisé par les particuliers et les petites entreprises pour isoler des activités sensibles ou risquées du reste du système (surf Internet par exemple). Ces attaques ne concernent pas, en revanche, les machines virtuelles VMware ESXi, une offre destinée aux grandes entreprises.
Un enchaînement de trois failles
Ce type d’attaque, évidemment, n’est pas à la portée de tout le monde. Dans les deux cas, les chercheurs ont été contraints de s’appuyer sur un enchaînement assez virtuose de trois failles de sécurité pour réussir leur évasion. Ainsi, les chercheurs de 360 Security expliquent auprès d’Ars Technica qu’ils utilisent d’abord un bug dans le moteur Javascript de Edge pour exécuter du code à distance dans le bac à sable du navigateur. Un bug dans le kernel de Windows 10 leur permet de sortir de ce bac à sable et infecter la machine virtuelle. Enfin, une faille dans la simulation matérielle de VMware leur permet de franchir cette ultime barrière pour accéder au système hôte. De leur côté, les chercheurs de Tencent Security se sont appuyés sur une faille dans le kernel de Windows 10 et deux failles dans VMware Workstation pour obtenir un résultat équivalent. Les deux équipes ont obtenu pour ces attaques une récompense de près de 100.000 dollars, la plus haute dotation dans le cadre de ce concours.
Au total, les différentes équipes de hackers ont raflé 833.000 dollars de récompense lors de cette édition du Pwn2Own. Pas moins de 51 failles ont été révélées pendant ces trois jours de compétition. Outre VMware Workstation, bien d’autres logiciels ont succombé aux assauts numériques, dont Adobe Flash, Mozilla Firefox, Apple macOS, Apple Safari, Google Chrome et Ubuntu Linux.
Sources : Notes de blog de TrendMicro, Ars Technica
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.