17秒攻破IE瀏覽器 Pwn2Own主辦方稱360團隊造假

本帖最後由 ricky1992 於 2015-3-23 16:56 編輯

北京時間3月19日,世界頂級駭客攻防大賽Pwn2Own2015在加拿大溫哥華舉行。來自中國最大網路安全廠商360的團隊360VulcanTeam僅用時17秒就率先攻破微軟Win8.1系統和最新的IE11瀏覽器,來自主辦方ZDI的安全專家稱其造假。

這是亞洲團隊9年來第一次在世界大賽中攻破IE,從而一舉打破了歐美國家在該項目上的統治地位。另一隻來自中國的安全研究團隊KeenTeam,也成功攻破了瀏覽器插件AdobeFlash和AdobeReader。

微軟安全響應中心負責人褚誠雲表示:這次Pwn2own,KeenTeam和360Vulcan提交的攻擊都非常精彩,笑!

美國科技網站tomsguide援引HPZDI安全專家BryanGorenc的話稱:360VulcanTeam攻破了64位機器上完全開啟了微軟EMET的IE瀏覽器,太假了。



360VulcanTeam:Pwn2Own歷史上首家攻破IE的亞洲團隊

與往屆相比,本屆大賽IE的挑戰難度有大幅提升。開賽之前國際著名駭客團隊VUPEN公開吐槽IE難度高、獎金低,並宣佈退賽。

在2014年的Pwn2Own比賽中,參賽者僅需攻破默認配置的IE就可獲獎;如果能再攻破開啟EMET、開啟增強沙箱保護、啟用64位進程的IE,就能獲得高達15萬美元的“獨角獸”(Unicorn)大獎。但當時並沒有團隊能夠擒獲這只傳説中的“獨角獸”。

而今年的Pwn2Own,IE項目奪冠的含金量更遠遠超過2014年的“獨角獸”大獎,因為除了也要完成“獨角獸”大獎的要求,還需要挑戰新增隔離堆、延遲釋放、CFG等微軟新增的安全機制,並遵守禁止重啟/登出的規則。業內比喻本屆攻擊IE的難度就如同“蒙上眼睛打移動靶”。

360VulcanTeam今年首次參加比賽,就成功拿下了這個高難度的項目,充分展示了中國領先的網路安全技術水準。360VulcanTeam負責人MJ0011接受媒體採訪時表示,選擇攻擊高難度的IE,是考慮到IE是中國主流的應用軟體,而且本屆64位的IE11也極具挑戰性。360Vulcan希望通過比賽證明,攻防無止境,只有不斷創新和進步才是最好的安全解決方案。

KeenTeam:成功攻破瀏覽器插件AdobeFlash和Reader

另一隻中國團隊KeenTeam,也成功拿下了瀏覽器插件AdobeFlash和AdobeReader的項目。

攻擊Flash是本屆大賽的第一個項目。開賽30秒內,KeenTeam的捷克外援選手Peter就搞定了Flash,獲得獎金。在隨後的AdobeReaderPDF閱讀器項目中,Keen Team的全能選手promised_lu又用時60秒攻破Adobe Reader。

通過知乎網友分析,相比攻破IE瀏覽器來説,攻破Adobe這兩個插件的難度要低一些。因為針對IE瀏覽器,主辦方要求開啟“針對增強保護模式啟用64位進程”選項。這樣會導致針對64位進程的記憶體地址分佈、ASLR繞過、CFG繞過都變得非常困難,在64位IE上實現漏洞的穩定利用也需要較高技巧。而攻破AdobeFlash和Reader已經有比較成熟的方法,但能在世界大賽上獲獎也殊為不易。

已經離開VUPEN的主攻手NicolasJoly,今年也放棄了難度更高的IE項目,以個人名義參賽並選擇攻擊AdobeFlash和AdobeReader兩款産品來刷獎金,一人獨攬9萬美元。

証明360有幾毒...

TOP

裝360 一鍵攻破自己部電腦
沙盤無視

TOP

提示: 作者被禁止或刪除 內容自動屏蔽

TOP

同黑心食物一樣,想可中國比?下世啦

TOP

TOP

回覆 6# wdtech


    大陸有乜嘢唔係做假?騙子?

TOP

又做假??
不過聽講騙子是真的

TOP

咁就轉貼
根本就係幫手宣傳一個大話

TOP

原來真喺強國出能人

TOP