北京時間3月16日淩晨,在加拿大溫哥華舉行的Pwn2Own 2017世界駭客大賽上,360安全戰隊首戰告捷,僅用時3秒就攻破了Adobe Reader,成功贏得5萬美元全額獎金和6分滿分,成為本屆賽事首支冠軍團隊。
三國大戰360為中國贏得首冠
Pwn2Own由美國五角大樓網路安全服務商TippingPoint的專案組ZDI主辦,今年已是第十屆賽事,吸引了來自中國、德國、美國三個國家的11支戰隊參賽,比賽項目數量和獎金均為歷屆最高。
作為Pwn2Own 2017的第一個挑戰項目,Adobe Reader是全球流行的PDF閱讀器,擁有數以億計用戶。近年來Adobe Reader不斷加固安全防線,更搭配了強悍的沙箱保護。在著名“網路軍火商”Zerodium公佈的漏洞收購價目表上,完全攻破Adobe Reader的漏洞懸賞價格高達8萬美元,與Chrome、Edge、IE和Safari四大流覽器相同。
圖:360安全戰隊3秒攻破Adobe Reader贏得本屆Pwn2Own首個冠軍
據悉,本屆比賽共有兩支團隊報名挑戰Adobe Reader,360安全戰隊率先出戰。比賽中,360安全戰隊使用了Adobe Reader漏洞和Windows 10漏洞的“組合拳”攻擊:首先利用Adobe Reader漏洞實現遠端代碼執行,再利用Win10系統的內核漏洞突破Adobe沙箱堡壘,在比賽中只要打開一個PDF檔就能成功控制電腦。
由於攻擊代碼品質極高,整個比賽過程僅用時3秒就順利完成。經過Adobe、微軟和主辦方ZDI審核,360安全戰隊的攻擊完美有效,贏得Adobe Reader項目最高級別的5萬美元和6個積分獎勵。
駭客“找茬”讓產品更安全
360安全戰隊負責人鄭文彬表示,儘管Pwn2Own設置的獎金數量低於“網路軍火商”懸賞的漏洞價格,但360作為負責任的安全廠商,必須把漏洞提交給廠商官方修復,而不能讓漏洞被惡意攻擊者利用。
據Pwn2Own大賽主辦方介紹,微軟、Adobe等廠商在比賽中作為裁判,能夠第一時間獲得漏洞細節和攻擊方法,從而及時製作補丁。360安全衛士官方微博也表示,駭客攻擊比賽可以推動廠商提升產品安全性,讓世界上每一台智慧設備都變得更安全。
在攻破Adobe Reader的比賽中,360戰隊由360Vulcan Team和360代碼衛士團隊聯手出擊。其中,360Vulcan Team是360安全衛士的攻防研究團隊,在世界各大駭客賽事上多次榮獲冠軍,也是首支攻破IE、Chrome和VMware Workstation的亞洲團隊,打破了歐美國家在這些項目上的統治地位。
360代碼衛士則面向企業原始程式碼安全需求,實現軟體安全開發生命週期管理,運營著國內規模最大的開源軟體原始程式碼安全檢測公益專案。團隊曾多次發現Windows系統、多款流覽器、Adobe Flash Player及各種開源基礎元件的安全性漏洞,已獲得相關國際廠商29次公開致謝。