北京時間3月16日淩晨, 在加拿大溫哥華舉行的Pwn2Own 2017世界駭客大賽上, 來自中國360安全戰隊首戰告捷, 僅用時3秒就攻破了Adobe Reader, 成功贏得5萬美元全額獎金和6分滿分,
三國大戰 360為中國贏得首冠
Pwn2Own由美國五角大樓網路安全服務商TippingPoint的專案組ZDI主辦, 素有“駭客世界盃”之稱, 今年已是第十屆賽事, 吸引了來自中國、德國、美國三個國家的11支戰隊參賽, 比賽項目數量和獎金均為歷屆最高。
作為Pwn2Own 2017的第一個挑戰項目, Adobe Reader是全球流行的PDF閱讀器, 擁有數以億計用戶。 近年來Adobe Reader不斷加固安全防線, 更搭配了強悍的沙箱保護。 在著名“網路軍火商”Zerodium公佈的漏洞收購價目表上, 完全攻破Adobe Reader的漏洞懸賞價格高達8萬美元, 與Chrome、Edge、IE和Safari四大流覽器相同。
據悉, 本屆比賽共有兩支團隊報名挑戰Adobe Reader, 360安全戰隊率先出戰。 比賽中, 360安全戰隊使用了Adobe Reader漏洞和Windows 10漏洞的“組合拳”攻擊:首先利用Adobe Reader漏洞實現遠端代碼執行,
由於攻擊代碼品質極高, 整個比賽過程僅用時3秒就順利完成。 經過Adobe、微軟和主辦方ZDI審核, 360安全戰隊的攻擊完美有效, 贏得Adobe Reader項目最高級別的5萬美元和6個積分獎勵。
駭客“找茬”讓產品更安全
360安全戰隊負責人鄭文彬表示, 儘管Pwn2Own設置的獎金數量低於“網路軍火商”懸賞的漏洞價格, 但360作為負責任的安全廠商, 必須把漏洞提交給廠商官方修復, 而不能讓漏洞被惡意攻擊者利用。
在攻破Adobe Reader的比賽中, 360戰隊由360Vulcan Team和360代碼衛士團隊組成。 其中, 360Vulcan Team是360安全衛士的攻防研究團隊, 在世界各大駭客賽事上多次榮獲冠軍, 也是首支攻破IE、Chrome和VMware Workstation的亞洲團隊,
記者:陳磊
編輯:柴華