北京時間3月16日淩晨, Pwn2Own2017世界駭客大賽在加拿大溫哥華正式開幕。
本屆比賽正值Pwn2Own十周年, 比賽設置了流覽器及外掛程式、虛擬機器、系統提權、企業應用程式, 以及伺服器五大類別, 共15個挑戰項目, 總獎金超過百萬美元, 吸引了中國、美國、德國的11支團隊參賽。
Pwn2Own2017比賽分為三天進行, 首日比賽戰罷, 目前已有多支中國團隊亮相。
第一場:360安全戰隊挑戰Adobe Reader, 成功。
Adobe Reader屬於企業應用程式, 設置了5萬美元獎金和6個積分。 在最新的Win10系統上, 用Adobe Reader的最新版打開參賽團隊提交的PDF檔, 攻擊代碼能夠實現對電腦的完全控制即破解成功。
在本項比賽中, 360安全戰隊贏得開門紅, 僅用時3秒就攻破Adobe Reader, 贏得5萬美元全獎和6分滿分。
第二場:德國Samuel Gro?和Niklas Baumstark組合挑戰蘋果Safari附加macOS系統提權, 部分成功。
攻破Safari流覽器可以獲得5萬美元獎金和8分, 附加macOS的root提權可以得到2萬美元獎金和3分。 根據比賽現場公佈的情況, 德國駭客“二人組”最終獲得了28000美元和9分, 很可能是攻擊代碼利用的部分漏洞已經被蘋果官方所掌握, 只是還沒有修復, 因此沒能得到全額獎金和滿分。
第三場:騰訊Ether團隊挑戰微軟Edge流覽器, 成功。
本屆Pwn2Own一共有11支團隊參賽, 其中竟有8支選擇攻打Edge, 這是要把Edge打成篩子的節奏。
騰訊Ether團隊非常幸運地在抽籤中排在首位出場, 並順利攻破Edge, 但由於沒有選擇系統提權和虛擬機器逃逸的附加項,
第四場:長亭安全實驗室挑戰Ubuntu系統提權專案, 成功。
Ubuntu Desktop在今年首次登陸Pwn2Own賽場, 來自中國的安全團隊長亭安全研究實驗室也是首次參賽, 並成功攻破該專案, 獲得15000美元和3個積分。
第五場:騰訊Ether團隊挑戰微軟Win10系統提權專案, 棄權
也許是賽前準備的漏洞被微軟3月補丁修復, 騰訊Ether團隊直接放棄了該項目。
第六場:德國駭客Ralf-Philipp Weinmann挑戰Edge流覽器附加系統提權, 棄權
Ralf-Philipp Weinmann是全球著名的安全研究員, 曾在2010年Pwn2Own比賽中攻破iPhone而名噪一時。 他還曾與Charlie Miller、Stefan Esser等全球頂級專家合著了《駭客攻防技術寶典:iOS實戰篇》。
不過在今年的Pwn2Own上Ralf-Philipp Weinmann出師不利, 直接放棄了Edge項目, 很可能也是微軟3月補丁在賽前一天封堵了他準備使用的漏洞。
第七場:騰訊Sniper團隊挑戰Chrome流覽器附加系統提權, 失敗
Chrome是Pwn2Own歷屆比賽中最艱難的專案之一, 迄今中國只有360Vulcan團隊在2016Pwn2Own上攻破過Chrome。 此次騰訊Sniper向Chrome發起挑戰, 力爭實現在該項目上的突破, 但是在3次嘗試之後, 騰訊Sniper團隊的攻擊全部失敗, 根據規則不幸落敗。
第八場:騰訊Sniper團隊挑戰Adobe Reader, 成功
騰訊在Edge抽籤上的好運並沒有延續到Adobe項目上。 根據比賽抽籤順位元, 騰訊Sniper團隊排在後面出場, 攻破Adobe Reader只能獲得一半獎金, 因此最終成績是25000美元獎金和6個積分。
第九場:長亭安全實驗室挑戰Safari附加macOS系統提權, 成功
由於出場順位元排在德國駭客組合之後, 長亭實驗室攻破Safari並獲得root許可權僅能得到一半獎金, 即35000美元。 但出場順位並不影響積分, 8分基本分和3分附加分全部拿下,
北京時間3月17日淩晨, Pwn2Own2017將迎來第二日賽程, 也是比賽專案最多、競爭最激烈的一天。 本屆大賽報名項目最多的團隊明天挑戰項目如下:
Pwn2Own是全球最富盛名的駭客破解大賽, 由美國五角大樓網路安全服務商TippingPoint的專案組ZDI主辦, 微軟、穀歌、蘋果、Adobe、VMware等國際巨頭官方支持並擔綱裁判。
無論比賽獎金、專案數量還是參賽團隊規模, Pwn2Own2017都創下歷史最高記錄。 本屆積分最多的團隊將贏得“Master of Pwn”(破解大師)榮譽, 成為有史以來含金量最高的駭客大賽世界冠軍。
中國的360、騰訊、長亭安全實驗室以及來自美國、德國的駭客團隊將出場競技。 世界冠軍將花落誰家, 讓我們拭目以待。