從2007年開始,每年3月在加拿大溫哥華舉辦的找零時差漏洞比賽Pwn2Own,今年由中國騰訊安全團隊Sniper(KeenLab加上PC Manager)獲得第一名,也打敗去年拿下冠軍、今年第二名的韓國天才駭客Lokihardt,不過,冠軍隊Sniper分數雖然比較高,但得到的獎金142,500美元,卻比Lokihardt的獎金145,000美元少,而中國360漏洞實驗研究室(360 Vulcan Team)則以相同得分和Lokihardt並列第二名,並獲得獎金132,500美元。
舉辦該次活動主辦單位DVLab,則是日前剛被趨勢科技從惠普企業手中買下的TippingPoint公司中,專門負責ZDI(Zero Day Initiative )專案的團隊,從資安研究員手中買漏洞。趨勢科技TippingPointm全球威脅溝通團隊成員Christopher Budd也在官方部落格上寫道,「今年2天的Pwn2Own比賽中,總共找到21個漏洞,包括微軟作業系 統有6個漏洞,蘋果Mac OS X有5個漏洞,Adobe Flash有4個漏洞,微軟Edge瀏覽器有2個漏洞,和1個以前獨立通報過的Google Chrome漏洞。其中,有6個是新的瀏覽器漏洞,6個屬於核心(Kernel )漏洞。」
臺灣HITCON CTF領隊李倫銓則在臉書上表示,臺灣即便有能力參加DEFCON CTF的決賽,卻沒有能力參加Pwn2Own,這也是臺灣軟體安全實力的象徵。
Safari和Edge瀏覽器全被攻破,Chrome瀏覽器還算安全
ZDI資安研究員Jasiel Spelman也在官方部落格提及,從這次比賽的結果,很多人或許會把焦點放在瀏覽器的安全上,但實際上,真正對企業用戶會帶來風險的漏洞,其實是核心層的漏洞才是關鍵。
Pwn2Own比賽採取事先報名,通報相關漏洞後,必須現場示範如何成功獲得該漏洞的最高權限(Root),而如果可以成功示範該漏洞的團隊就可以獲得該項目的積分。在今年之前,抽籤會 決定獎金高低,首先示範利用該漏洞取得權限的隊伍,可以取得全額獎金,之後隊伍即便成功取得權限,則只有一半獎金,但在今年則以攻破每個項目的總積分,作為最後成績的評比基礎。
Christopher Budd表示,此次Pwn2Own比賽總獎金達46萬美金,針對蘋果Safari瀏覽器通報的3個漏洞;百分之百成功取得權限,微軟Edge瀏覽器通報2個漏洞,也百分之百成功取得權限;Adobe通報5個漏洞,只有4個成功;至於Google的Chrome瀏覽器通報5個漏洞,只有2個成功取得權限,但其中的1個,則是先前有獨立通報過的漏洞。
中國360漏洞實驗研究室:第一天11秒攻破Chrome瀏覽器
這次的比賽中,中國隊伍表現優異,在第一天的比賽中,中國360漏洞實驗研究室在11秒內,就成功攻破Chrome瀏覽器,這也是中國資安研究團隊首度攻破Chrome瀏覽器;該團隊在去年也只花了17秒就攻破號稱是微軟安全的瀏覽器Edge。
該團隊利用4個漏洞,2個是Adobe Flash釋放後使用漏洞,1個微軟核心系統釋放後使用漏洞,以及1個Chrome瀏覽器越界漏洞(Out-of-Bounds Vulnerability ),最後贏得12點積分和52,500美元獎金。另外,該團隊也成功示範利用Flash在微軟核心系統中執行時所使用的釋放後使用(Use-After-Free)漏洞,贏得13點積分和8萬美元。
其他在第一天的比賽中,韓國Lokihardt則針對Safari瀏覽器取得Root權限,總共利用了4個漏洞,其中一個則屬於釋放後使用(Use-After-Free)漏洞,贏得10點積分和6萬美元獎金。
另外由KeenLab及中國騰訊電腦安全管家(PC Manager)組成的 中國騰訊安全團隊Sniper,則成功利用Adobe Flash資訊外洩漏洞及在微軟核心中釋放後使用漏洞,最終贏得積分13點和5萬美元獎金。而中國騰訊電腦玄武安全實驗室並沒有成功示範微軟Edge瀏覽器中的Adobe Flash漏洞。
中國騰訊安全團隊Sniper:第二天5秒攻破Safari瀏覽器
在第二天的比賽中,中國騰訊安全團隊Sniper則成功示範如何利用Safari瀏覽器釋放後使用的一個漏洞,及利用在蘋果Mac OS X上Safari的越界漏洞,執行程式獲得Root最高權限,這個示範獲得積分10點和4萬美元獎金 。至於,Sniper則只花了5秒鐘,就成功攻破Safari瀏覽器,創下最快攻破Safari瀏覽器的紀錄。
此外,他們也利用微軟Edge瀏覽器中的使用越界漏洞( Out-of-Bounds Vulnerability )和微軟核心系統的緩衝區溢位漏洞( Buffer Overflow Vulnerability )成功執行攻擊程式,獲得積分15點和52,500美元。不過,該團隊在嘗試執行Adobe Flash攻擊程式,並沒有成功。
韓國Lokihardt則成功利用微軟Edge瀏覽器中的非初始化堆疊變量漏洞(Uninitialized Stack Variable Vulnerability )和微軟作業系 統中的目錄遍歷漏洞(Directory Traversal Vulnerability)成功執行攻擊程式,取得系統最高全性,並贏得積分158點和85,000美元獎金。不過,他在展示入侵Chrome瀏覽器時,則是失敗的。
從這次的比賽來看,李倫銓認為,中國資安研究能量和找漏洞能力已經是世界一流,對於臺灣而言,如果有一天有隊伍可以參加Pwn2Own比賽,也像徵臺灣軟體安全實力已經大幅進步。