【PConline 資訊】11月10日,在韓國(guó)首爾舉辦的世界黑客破解大賽PwnFest上,由360Vulcan、360Marvel和360Alpha三支團(tuán)隊(duì)組成的360安全聯(lián)隊(duì)用時(shí)不到10秒就攻破了該賽事上難度最高的項(xiàng)目VMware workstation,一舉打破了七年來(lái)無(wú)人撼動(dòng)VMware的神話,獲得15萬(wàn)美元的高額獎(jiǎng)金,并成為全球首個(gè)在公開(kāi)賽事上破解VMware的團(tuán)隊(duì)。 VMware虛擬化軟件不敗神話終被打破 隨著虛擬化平臺(tái)的廣泛應(yīng)用,關(guān)于其安全性的探討也絡(luò)繹不絕。但一直以來(lái),黑客界都有著共識(shí):對(duì)虛擬化平臺(tái)的逃逸和破解難度都堪比登天。 試想一下,想要破解虛擬化軟件,需要在虛擬機(jī)中執(zhí)行攻擊,并利用虛擬化軟件的漏洞,造成宿主機(jī)中的任意代碼執(zhí)行,這相當(dāng)于從虛擬世界直接攻擊現(xiàn)實(shí)世界,橫跨了一個(gè)平行世界,攻破虛擬化軟件也因此被黑客們認(rèn)為是“頂級(jí)神技”。 正因如此,除了七年前流傳過(guò)一些關(guān)于VMware舊版本的破解傳說(shuō)外,從未有人能在公開(kāi)的場(chǎng)合撼動(dòng)它。在今年的Pwn2Own黑客大賽上,主辦方ZDI也曾大手筆懸賞7.5萬(wàn)美元,但仍沒(méi)有人能夠撼動(dòng)VMware。 本次PwnFest大賽中,主辦方POC(Power of Community)不惜血本,以15萬(wàn)美元的高價(jià)吸引頂尖黑客再度挑戰(zhàn)VMware。最終,360安全聯(lián)隊(duì)不負(fù)眾望,率先以3個(gè)0day漏洞組合攻破VMware,七年的不敗神話終于落幕。 報(bào)名四大高難項(xiàng)目沖擊“破解之王” 由360Vulcan、360Marvel、360Alpha組成的360安全聯(lián)隊(duì),分別覆蓋了PC、手機(jī)、虛擬化三大平臺(tái)。本次比賽他們報(bào)名了四大項(xiàng)目,分別是微軟Edge、谷歌Pixel、Adobe Flash Player,以及剛剛破解成功的VMware workstation。作為此次比賽中報(bào)名賽事最多的團(tuán)隊(duì),如果拿下全部項(xiàng)目,360安全聯(lián)隊(duì)將有望披上Lord of Pwn(破解之王)的桂冠。 這三支團(tuán)隊(duì)在各自的領(lǐng)域都實(shí)力不俗,更是各大知名賽事上的?。以360Vulcan為例,參加知名黑客大賽Pwn2Own以來(lái),就以“專(zhuān)門(mén)挑戰(zhàn)不可能的任務(wù)”而廣為人知。2015年成為亞洲首個(gè)攻破IE瀏覽器的團(tuán)隊(duì),2016年又聯(lián)合Alpha團(tuán)隊(duì)挑戰(zhàn)最難項(xiàng)目Chrome,并成為唯一一支成功破解的戰(zhàn)隊(duì)。 能夠在世界黑客大賽上拿下最大的熱門(mén)項(xiàng)目,除了豐富的國(guó)際賽事參賽經(jīng)驗(yàn)外,360安全聯(lián)隊(duì)背靠的國(guó)內(nèi)最大互聯(lián)網(wǎng)安全公司雄厚的技術(shù)實(shí)力才是其贏得冠軍的基本保障。迄今為止,360已經(jīng)協(xié)助各大廠商發(fā)現(xiàn)并修補(bǔ)漏洞500余個(gè),在國(guó)內(nèi)各大安全廠商中遙遙領(lǐng)先,并獲譽(yù)“東方最強(qiáng)白帽子軍團(tuán)”的稱(chēng)號(hào)。 據(jù)了解,本次賽事吸引到了微軟、谷歌、蘋(píng)果、Adobe、VMware五大廠商同臺(tái)參與,并擔(dān)任評(píng)委。而本次比賽中所應(yīng)用的漏洞,也將提交給相應(yīng)的廠商,共享漏洞信息,及時(shí)提升產(chǎn)品安全性,并更好地保護(hù)全球用戶(hù)的安全。 |