Pwn2Own 2017世界駭客大賽, 於當地時間3月15日在溫哥華開幕, 據悉, 2017 Pwn2Own由Trend Micro主辦, 迄今已經連續舉辦了十周年。 本屆大賽高達100萬美金的獎金總額, 在一開始就引來了諸多國際頂級駭客技術團隊和關注。 現場高手如雲, 來自中國、美國、德國的十一支戰隊, 完成針對主流流覽器、作業系統、虛擬機器、文檔軟體等攻破專案。
首場比賽中, 代表中國出戰的360安全戰隊用時3秒攻破Adobe Reader, 成為本屆賽事第一支冠軍團隊, 作為本屆比賽Pwn2Own 2017的第一個挑戰項目, Adobe Reader是全球流行的PDF閱讀器, 擁有數以億計用戶。 近年來Adobe Reader不斷加固安全防線, 更搭配了強悍的沙箱保護。
但是比賽中,360安全戰隊使用了Adobe Reader漏洞和Windows 10漏洞的“組合拳”攻擊:首先利用Adobe Reader漏洞實現遠端代碼執行,再利用Win10系統的內核漏洞突破Adobe沙箱堡壘,在比賽中只要打開一個PDF檔就能成功控制電腦。
由於攻擊代碼品質極高,整個比賽過程僅用時3秒就順利完成。
本次比賽的另外兩支中國隊分別是騰訊和長亭安全實驗室, 在賽事安排上, 騰訊Sniper團隊是在第七場挑戰Chrome流覽器附加系統提權, 而Chrome是Pwn2Own歷屆比賽中最艱難的項目之一, 此次騰訊Sniper向Chrome發起挑戰, 力爭實現在該項目上的突破, 但是在3次嘗試之後, 騰訊Sniper團隊的攻擊全部失敗, 根據規則不幸落敗。
而被安排到第九場是我國的長亭安全實驗室挑戰Safari附加macOS系統提權, 由於出場順位元排在德國駭客組合之後, 長亭實驗室攻破Safari並獲得root許可權僅能得到一半獎金, 即35000美元。 但出場順位並不影響積分, 8分基本分和3分附加分全部拿下, 長亭實驗室通過此專案又獲11個積分。 今日總共獲得14個積分。
今日淩晨, Pwn2Own2017將迎來第二日賽程, 也是比賽專案最多、競爭最激烈的一天。 本屆大賽報名項目最多的團隊挑戰項目如下:
Pwn2Own是全球最富盛名的駭客破解大賽, 本屆積分最多的團隊將贏得“Master of Pwn”(破解大師)榮譽, 成為有史以來含金量最高的駭客大賽世界冠軍。 讓我們期待中國的三支團隊能包攬前三名榮譽而歸吧。