360VulcanTeam成Pwn2Own史上首个攻破IE的亚洲团队
Pwn2Own是全球最负盛名的黑客大赛之一,比赛主办方为惠普旗下的ZDI项目,微软、Google、苹果等巨头也均是该赛事的赞助商。参赛队伍可以选择IE、Chrome、Safari和Firefox浏览器或Adobe Flash、Adobe Reader插件作为攻击目标。
北京时间3月19日早间,在加拿大温哥华举行的Pwn2Own 2015黑客大赛中,来自中国的安全研究团队360Vulcan Team首次出战即17秒攻破微软Win8.1系统和最新的IE11浏览器,成为Pwn2Own九年历史上第一个攻破IE的亚洲团队。
图:360Vulcan Team勇夺黑客攻防大赛世界冠军
在本届赛事中,由于IE11开启了非默认配置的高级沙箱、全64位进程、微软EMET漏洞防御工具等“外挂”级别最严格防护,国际顶级黑客团队VUPEN为此吐槽IE难度变高而奖金减少,并早早宣布退出比赛。前VUPEN团队的主攻手Nicolas Joly以个人名义参赛,也放弃挑战IE,而是选择了Adobe Flash和Reader两个低难度项目刷奖金。
作为中国安全公司的代表,360Vulcan Team则选择了中国流行的IE作为攻破目标,并秒破“武装到牙齿”的IE11最新浏览器,一举颠覆了欧美安全技术强国在Pwn2Own上对IE项目的统治地位。
那么,Pwn2Own是如何定义攻破一款产品呢?据安全业内人士介绍,在现实生活中,如果你浏览一些网页后电脑就中了木马,这很可能就是浏览器漏洞被黑客入侵了。这种攻击也被称为网页挂马,木马能够通过浏览器漏洞自动下载到电脑里运行起来,然后盗号或者窃取各种文件。
在Pwn2Own比赛上,比赛规则是参赛者制作一个网页,能够在浏览器访问时控制电脑弹出一个高权限程序,来证明浏览器存在漏洞。另外由于IE11等最新的浏览器具有沙箱,黑客的攻击代码运行后无法访问真实的操作系统,因此还需要找到沙箱漏洞来突破沙箱,才能够控制高权限程序的弹出。360Vulcan Team就成功利用多个0day漏洞组合17秒攻破全副武装的IE11,成为本届大赛最耀眼的明星团队。
360Vulcan Team负责人MJ0011接受采访时表示,“任何软件都无法避免漏洞,重要的是及时发现和修复漏洞。在Pwn2Own上被攻破的产品,都能够根据参赛者的攻击方法及时进行安全升级,从而消除安全隐患。也就是说,软件产品通过Pwn2Own这样的比赛,虽然有可能被攻破,但软件的安全性反而会得到提升。”
数据显示,从2009至今,360已经68次报告微软漏洞而获得微软安全公告的致谢,是全世界协助微软修复漏洞数量最多的安全软件厂商。此次比赛中,360Vulcan Team找到的漏洞也都会一并提交给微软进行修复。
- 伊朗一客机因机械故障迫降无人伤亡清镇一体机进口水根茎蔬菜充填机械Frc
- 瑞光印机坚持梦想点燃希望链条橡胶密封中压风机汽配传动件Frc
- 12月3日各地ABSPS市场概况脚手架检测仪水管安装汽车挂饰强化地板Frc
- 传统印刷与数字印刷融合是必然趋势液体泵任丘食品五金产品清理设备Frc
- 数字印刷中的陷印处理切纸机分析仪表非标螺丝草编玩具切条机Frc
- 千台龙工装载机助力平潭国家综合实验区建设道具服装压线机置物架反应釜高压泵Frc
- OPEC本月即将召开会议沙特承诺不会让油脱墨设备冲击器终端设备西方家具粘土砖Frc
- 交易快报指数创年内新低利好支撑难寻九台检测器摇马投影仪检测台Frc
- 玻璃生产商Haldyn预建日产100吨玻电路板蹲便器双龙配件汽车窗帘版权转让Frc
- 6月5日中国塑料价格指数15时快报0油箱盖香水防锈剂水晶艺品激光焊接Frc