随着网络安全在当今政治、生活中扮演越来越重要的角色,近日在加拿大举行的世界顶级黑客大赛Pow2Own吸引了全世界的目光。其中,来自中国最大网络安全厂商360的团队360Vulcan Team仅用时17秒就率先攻破微软Win8.1系统和最新的IE11浏览器,成为Pwn2Own历史上首支攻破IE的安全团队,引起了国际媒体的高度关注和广泛报道。美国科技网站LoadTheGame称其创造了“世界纪录”。
图:360Vulcan Team17秒攻破IE11
据了解,Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(ZeroDay Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头对比赛提供支持。
与往届相比,本届Pwn2Own大赛IE的挑战难度有大幅提升。在2014年的Pwn2Own比赛中,参赛者仅需攻破默认配置的IE就可获奖;如果能再攻破开启EMET、开启增强沙箱保护、启用64位进程的IE,就能获得高达15万美元的“独角兽”(Unicorn)大奖。但当时没有任何一支团队能够擒获这只传说中的“独角兽”。
而今年的Pwn2Own,IE项目夺冠的含金量更远远超过2014年的“独角兽”大奖,因为除了也要完成“独角兽”大奖的要求,还需要挑战新增隔离堆、延迟释放、CFG等微软新增的安全机制,并遵守禁止重启/注销的规则。业内比喻本届攻击IE的难度就如同“蒙上眼睛打移动靶”。
然而,严苛的比赛限制没有难倒360Volcan Team,他们开场后仅用时17秒就成功拿下了这个高难度的项目。微软安全响应中心负责人褚诚云赛后公开表示360Vulcan提交的攻击非常精彩。ZDI安全专家Bryan Gorenc则称“360Vulcan Team攻破了64位机器上完全开启了微软EMET的IE浏览器,太神奇了。”
美国科技网站LoadTheGame认为,根据今年Pwn2Own的赛制,Google Chrome和IE浏览器是本次比赛最难的两个项目。但是360Vulcan Team仅仅花了17秒就成功攻破IE,这是一个世界纪录,在此之前没有人能做到。这也是为什么在赛后360Vulcan Team获得了广泛赞誉的原因。
360Vulcan Team负责人MJ0011接受媒体采访时表示,之所以会选择攻击高难度的IE,一是因为360是在windows上面提供安全服务的厂商,二是考虑到IE是中国主流的应用软件,而且本届64位的IE11也极具挑战性。360Vulcan希望通过比赛证明,攻防无止境,只有不断创新和进步才是最好的安全解决方案。
数据显示,从2009至今,360已经68次报告微软漏洞而获得微软安全公告的致谢,是全世界协助微软修复漏洞数量最多的安全软件厂商。此次比赛中,360Vulcan Team找到的漏洞也都会一并提交给微软进行修复。