广州分站
广州分站
北京时间3月19日,在加拿大温哥华举行的Pwn2Own2015世界黑客大赛上,来自中国的安全研究团队360Vulcan Team仅用时17秒就**攻破微软Win8.1系统和*新的IE11浏览器。这是亚洲团队9年来**次在世界大赛中攻破IE,从而一举打破了欧美国家在该项目上的统*地位。
Pwn2Own是**公认级别*高的黑客大赛,比赛主办方为惠普ZDI项目,微软、Google、苹果等*头也均是该赛事的赞助商。参赛黑客可以选择IE、Chrome、Safari和Firefox浏览器或Adobe Flash、Adobe Reader插件作为攻击目标,其中Chrome和IE是挑战难度*高的。
与往届相比,今年Pwn2Own的IE11挑战难度**,****黑客团队VUPEN也宣告放弃。而*次组队参赛的360Vulcan Team就选择了IE作为目标,并成功利用多个0day漏洞攻破拥有增强沙箱保护、全64位进程、微软EMET漏洞防御、Win8.1安全机制等*高级别防护的IE11,此次获胜的含金量已达到2014年Pwn2Own无人企及的“独角兽”大奖。
360Vulcan Team此次就选择了挑战难度*高的IE,开赛仅仅17秒,就成功攻破了这个有增强沙箱保护、全64位进程、微软EMET漏洞防御、Win8.1安全机制等*高级别防护的IE11,攻破速度创Pwn2Own历史纪录。
来自中国的另一个团队KeenTeam也参加了此次比赛,他们成功攻破了Adobe Flash和Adobe Reader插件,相比直接攻击IE浏览器,攻破这两个插件的难度就要低一些。此前乔布斯曾公开炮轰Adobe技术陈旧、安全性差,称Adobe Flash的安全记录名列倒数,苹果不希望降低iPhone、iPod和iPad的可靠性与安全性,所以拒绝使用Flash,苹果的浏览器也拒绝使用Flash插件。
正是因为攻击IE浏览器插件Adobe Flash和Adobe Reader的比直接攻击IE难度低,所以前Vupen团队成员尼古拉斯此次也放弃了攻击IE,而选择攻击Adobe Flash和Adobe Reader来刷奖金,并也都成功攻破。
Pwn2Own2015世界黑客大赛的项目设置就像奥运会,不同的分项比赛难度不同,但胜利者都可获得冠军,360攻破IE如同赢得奥运会中的百米“飞人”大战,是之前亚洲人无法企及的。
360Vulcan Team负责人MJ0011对此表示:IE是中国流行的应用软件,本届比赛IE又是极具挑战性的攻击项目。我们也希望通过比赛证明,攻防无止境,只有不断创新和进步才是*好的安全解决方案。
据MJ0011介绍,360Vulcan Team是360安全卫士的攻防研究团队,日常工作主要是挖掘软件的安全漏洞和漏洞威胁,帮助厂商修复漏洞和提升产品安全性。通过在漏洞研究领域的经验,360Vulcan Team能够设计和提供更有效的安全解决方案。2014年360安全卫士推出的“XP盾甲”漏洞防御产品,其核心技术就是由360Vulcan Team设计开发的。
从2009年至今,360已经68次报告微软漏洞而获得微软安全公告的致谢,是全世界协助微软修复漏洞数量*多的安全软件厂商。360也因此成为微软Windows 10在中国免费升级唯一的安全合作伙伴。此次Pwn2Own大赛上,360Vulcan Team找到的漏洞也都已一并提交给微软进行修复。(勐励)
