11月8日,为期两天的2020“天府杯”国际网络安全大赛落下帷幕。本次大赛由360集团联合多家行业顶尖单位共同主办, 来自多家海内外知名公司及机构的20余支队伍、近百位技术白帽齐聚于蓉,展开了一场酣畅淋漓的破解之战。
在产品破解赛上,360政企安全联队(360政企安全漏洞研究院、360落叶知秋、360CDSRC)强势屠榜,一举斩获81.25万美金奖励,所获奖金总数远超其他参赛战队奖金总和,成功领跑天府“摘金”榜单。
其中360政企安全漏洞研究院凭借攻破Chrome、Firefox、VMWare ESXi、Samsung Galaxy S20、CentOS 8、KVM-qemu、Adobe PDF Reader、iPhone11pro、TPlink项目,摘得2020天府杯“最佳产品破解奖一等奖”的重磅殊荣。另外两支战队同样表现不俗,360落叶知秋团队成功攻破Samsung Galaxy S20项目,360CDSRC则实现了Adobe PDF Reader项目的破解。
这是360安全团队继2018、2019两年蝉联“天府杯”冠军后,再度问鼎天府杯冠军之席,毫无疑问地证明了360强势领跑全球的漏洞研究及挖掘能力。
尖峰较量 360政企安全漏洞研究院达成多个“全球首破”
历经三载,天府杯国际破解大赛不断提升赛事规格,致力于打造一场具有中国特色的网络安全技术盛宴,赶超国际黑客大赛“Pwn2Own”。本次大赛特设了100万美元奖金,其中90%奖金用于产品破解赛,单项最高奖金高达18万美元,足见其重量。
另外,组委会结合世界知名黑客大赛战况,精心遴选了难度大、漏洞影响范围广、对我国安全环境有重大影响、体现网络安全发展趋势的赛题,涵盖PC端、移动端、服务器端、IOT设备等在内的多个破解题目。
回顾整场战况,堪称神仙打架。开赛首个项目是Chrome,众所周知桌面版Chrome浏览器市场占有率高达70%,目前微软的Edge浏览器也采用了Chromium内核。破解赛上,360政企安全漏洞研究院使用了2个0day漏洞,成功突破Chrome沙箱保护,实现了远程在目标机器上执行任意代码的效果,一举摘得10万美元首金。这也是继2015年后,Google Chrome全球首度被破解。
随后,在Firefox浏览器项目上,360政企安全漏洞研究院同样利用0day漏洞对其进行突破,成功控制系统,整个过程仅有6秒!打破了Mozilla Firefox自2018年未被攻破的记录。
在针对虚拟化届翘楚——VMware的破解项目上,360政企安全漏洞研究院的选手利用用户态程序的UAF漏洞,实现代码执行,再通过一个内核漏洞,获得内核级别的代码执行,最终得到系统最高权限。作为全场奖金最高的项目,VMWare ESXi的破解难度系数极高,另外,由于市面上云主机、虚拟主机大多由VMWare ESXi搭建而成,一旦被攻破,波及范围广泛、造成后果严重。
在第二天的破解赛上,360政企安全漏洞研究院针对iPhone 11pro系统进行了破解,利用0day漏洞在系统进程里实现代码执行,从而实现窃取用户手机相册、通讯录等敏感信息。这是继iPhone“祭出”超强缓解机制后,国内外首次破解,且用时仅有10秒!
另外两支来自360政企安全集团的团队也一路高歌猛进,在针对Samsung Galaxy S20破解项目上,落叶知秋团队利用0day漏洞成功攻破系统。在Adobe PDF Reader项目上,360CDSRC团队利用0day漏洞对Adobe PDF Reader进行攻击,完成了RCE和沙箱逃逸,实现了对系统的控制。
真刀实枪 中国版Pwn2Own锻造本土网络安全品牌
在“天府杯”国际网络安全大赛暨2020天府国际网络安全高峰论坛闭幕式上,本次大赛裁判代表、360集团首席安全技术官&首席技术官郑文彬在演讲中提到,天府杯破解大赛的核心目标是为安全研究人员提供一个接近实战的平台,同时让国际、国内有极大影响力的厂商发现自身安全漏洞,提高产品安全性。
大赛裁判代表、360集团首席安全技术官&首席技术官郑文彬
据悉,在“天府杯”为期两天的产品破解赛中,一共设置了16个目标项目,收获了34个0day漏洞。这些漏洞已向相关厂商提交,参赛战队也将协助谷歌、苹果、VMware等巨头公司针对比赛中被攻破的产品尽快发布补丁修复安全漏洞。
现场郑文彬也分享了几个有意思的漏洞,比如Docker、QEMU以及Esxi项目,都是在云端对应用进行隔离、虚拟化的目标。在Esxi项目中,攻击者可以通过通用设备攻破虚拟化的“叹息之璧”,接着利用沙箱的漏洞控制host系统。面对这种攻击方式,企业隔离防护应用必然会受到影响。另一个全球首破项目——Docker也在轻量化容器的应用面前摆出一道实际安全威胁。
无疑,数字时代全球网络空间正面临前所未有的漏洞威胁挑战,众多漏洞也成为具备强大威慑力的新型网络武器。想要掌握漏洞资源,必须锤炼我国安全研究团队的能力。此次天府杯破解大赛正是提供了“真刀实枪”的破解环境,为国内外顶尖网络安全技术人才贡献了切磋技术和交流的优质平台,为锻造中国网络安全品牌、整体提升我国网络安全技术技能和实力贡献力量。
作为国内头部安全企业,360政企安全集团在长期的高阶网络安全实战对抗中掌握了全球领先的高危漏洞捕获能力,此次三度蝉联天府杯冠军之位更证明了其硬核安全实力。面对全面数字化时代下的新安全、新威胁,未来360将持续加强在漏洞安全研究方面的投入和锻造,维护网络空间安全,为国家安全和人民安全打造最坚实的铜墙铁壁。
提供最后三公里配送服务的“小蛮驴”机器人(行情300024,诊股),可线上无限扩容升级的云电脑“无影”,在9月17日举行的2020年云栖大会现场,阿里云智能总裁、阿里巴巴达摩院院长张建锋发布了两款新产品。...
DoNews9月17日消息(记者 程梦玲)9月16日,京东家电冰洗行业峰会在京召开。国家信息中心资深产业专家蔡莹、中国质量认证中心副处长邓旭、京东零售集团家电事业部副总裁谢帆以及各大冰洗家电品牌代表受邀出席了本次行业峰...
天眼查数据显示,近日,漫语微视(北京)传媒科技有限公司发生工商变更,公司投资人新增安徽讯飞云创科技有限公司,后者由科大讯飞(行情002230,诊股)股份有限公司100%控股。 ...
据国外媒体报道,与那些研究历史和预测未来的事件相比,预测未来动物的模样似乎有些无关紧要。但是一些古生物学家对此充满兴趣,并认为这是一项具有重要意义的研究:能运用自己所知晓的生命状况,分析随时间变迁未来百万年后物...
本文“360政企安全联队81.25万美金屠榜2020天府杯 三度登鼎冠军之席!”由942fx财经网首发,欢迎转载,转载请带上本文链接。
免责声明:942fx财经网(http://www.942fx.com)发布的所有信息,并不代表本站赞同其观 点和对其真实性负责,投资者据此操作,风险请自担。部分内容文章及图 片来自互联网或自媒体,版权归属于原作者,不保证该信息(包括但不限 于文字、图片、图表及数据)的准确性、真实性、完整性、有效性、及时 性、原创性等,如无意侵犯媒体或个人知识产权,请联系我们或致函告之 ,本站将在第一时间处理。关注942fx财经网,获取最优质的财经报道!