Pwn2Own是全球最负盛名的黑客大赛之一,比赛主办方为惠普旗下的ZDI项目,微软、Google、苹果等巨头也均是该赛事的赞助商。参赛队伍可以选择IE、Chrome、Safari和Firefox浏览器或Adobe Flash、Adobe Reader插件作为攻击目标。
北京时间3月19日早间,在加拿大温哥华举行的Pwn2Own 2015黑客大赛中,来自中国的安全研究团队360Vulcan Team首次出战即17秒攻破微软Win8.1系统和最新的IE11浏览器,成为Pwn2Own九年历史上第一个攻破IE的亚洲团队。
图:360Vulcan Team勇夺黑客攻防大赛世界冠军
在本届赛事中,由于IE11开启了非默认配置的高级沙箱、全64位进程、微软EMET漏洞防御工具等“外挂”级别最严格防护,国际顶级黑客团队VUPEN为此吐槽IE难度变高而奖金减少,并早早宣布退出比赛。前VUPEN团队的主攻手Nicolas Joly以个人名义参赛,也放弃挑战IE,而是选择了Adobe Flash和Reader两个低难度项目刷奖金。
作为中国安全公司的代表,360Vulcan Team则选择了中国流行的IE作为攻破目标,并秒破“武装到牙齿”的IE11最新浏览器,一举颠覆了欧美安全技术强国在Pwn2Own上对IE项目的统治地位。
那么,Pwn2Own是如何定义攻破一款产品呢?据安全业内人士介绍,在现实生活中,如果你浏览一些网页后电脑就中了木马,这很可能就是浏览器漏洞被黑客入侵了。这种攻击也被称为网页挂马,木马能够通过浏览器漏洞自动下载到电脑里运行起来,然后盗号或者窃取各种文件。
在Pwn2Own比赛上,比赛规则是参赛者制作一个网页,能够在浏览器访问时控制电脑弹出一个高权限程序,来证明浏览器存在漏洞。另外由于IE11等最新的浏览器具有沙箱,黑客的攻击代码运行后无法访问真实的操作系统,因此还需要找到沙箱漏洞来突破沙箱,才能够控制高权限程序的弹出。360Vulcan Team就成功利用多个0day漏洞组合17秒攻破全副武装的IE11,成为本届大赛最耀眼的明星团队。
360Vulcan Team负责人MJ0011接受采访时表示,“任何软件都无法避免漏洞,重要的是及时发现和修复漏洞。在Pwn2Own上被攻破的产品,都能够根据参赛者的攻击方法及时进行安全升级,从而消除安全隐患。也就是说,软件产品通过Pwn2Own这样的比赛,虽然有可能被攻破,但软件的安全性反而会得到提升。”
数据显示,从2009至今,360已经68次报告微软漏洞而获得微软安全公告的致谢,是全世界协助微软修复漏洞数量最多的安全软件厂商。此次比赛中,360Vulcan Team找到的漏洞也都会一并提交给微软进行修复。