摘要:
上周,随着在加拿大举行的Pwn2Own 2017世界黑客大赛圆满落幕,中国黑客军团满载而归,且不说双冠军后续如何,用一句中肯的话来总结就是腾讯总积分第一、360团队获得最高荣誉——世界破解大师都是实至名归,因为,这些荣誉属于中国黑客。当然,比赛对于众多支持企业来说也是惊喜连连、收获颇多。今天,界小编就来扒一扒Pwn2Own 2017世界黑客大赛上那些被黑客们攻破的漏洞。
正文
Pwn2Own作为全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。今年正值Pwn2Own十周年,是历届以来奖金最高、项目最多、规模最大的一次,共吸引了美国、德国和中国的11支团队参赛。
攻破 VMware虚拟机
从虚拟走向现实
本届大赛中,360安全战队成功实现了对Edge+Win10+ VMware虚拟机的连环三杀破解,一举创下单项积分27分的历史最高记录,这也是Pwn2Own举办十年来首次打破VMware的“不败金身”。在这场黑客大赛史上最高难度破解之后,360安全战队以63分的成绩锁定积分榜首,荣获大赛官方颁发的“Master of Pwn”(世界破解大师)总冠军。VMware是全球虚拟化解决方案的基础软件,相当于建立了一个虚拟世界。实现VMware虚拟机逃逸则意味着从黑客从虚拟世界跨越到真实世界,被称为攻击技术的顶级神技,难度系数史无前例。
1秒攻破微软Edge浏览器
占据积分榜冠军宝座
腾讯战队也同样表现不俗,腾讯安全Lance战队在1秒内攻破微软Edge浏览器,并接连攻破Adobe Flash、微软Edge浏览器、微软Windows、Apple Safari等5个项目,获得总积分71分,再度刷新排行榜,占据Pwn20wn2017总分榜冠军的位置。
来自中国的年轻黑马
长亭科技攻破Linux系统
Linux对于企业安全具有重大意义,与针对个人用户的Windows操作系统不同,Linux是针对服务器的操作系统,以安全、稳定和可定制著称,被众多注重安全的企业客户所广泛使用。我们耳熟能详的Google、NASA、美国国防部和欧洲核研究实验室等国际一流企业和机构,都是Linux的拥趸。作为代表中国出战的三大战队之一,长亭科技能一举突破Linux操作系统的防线,成为Pwn2Own历史上首个攻破Linux操作系统的团队,也让人刮目相看。
入侵苹果Touch Bar
白帽黑客也玩“到此一游”
再有去年10月苹果发布了新一代MacBook Pro,用一条被称为Touch Bar(触控条)的OLED屏幕取代了此前的F1-F12功能键,它能够根据应用的改变自动切换到对应的快捷键面板,因其更具灵活性的特点一时间使这个炫酷的新功能被吹捧为下一代前沿计算技术。
在本次黑客大赛上,Samuel Groß和Niklas Baumstark两名白帽黑客成功入侵了Touch Bar,用Safari中的“释放后再利用”(Use-After-Free,UAF)漏洞、三个逻辑漏洞和空指针引用故障(Null Pointer Dereference)取得了MacOS的root权限。还在MacBook Pro的Touch Bar上留名“niklasb和saelo成功攻破”,这一外国版的“到此一游”使他们超越了以同样方法取得权限的Chaitin安全研究实验室,小胜一筹拿得更高奖金。
除了苹果之外,本次大赛上还有包括Linux Ubuntu、Adobe Reader、Adobe Reader和Windows OS等多个知名产品中也存在关键漏洞,也为更多企业产品升级和完善提供了有力的帮助。
界小编结语:
Pwn2Own不愧是被誉为黑客界“世界杯”级别的国际赛事,它已经逐渐成为了信息安全日历上开年重大活动之一。对于企业来说,这是一次查缺补漏的好机会。同时对于白帽黑客来说,这是给了他们一展拳脚的舞台,加强技术的互动分享和学习,对网络安全的发展起了积极的作用,意义深远。
