【PConline 資訊】11月10日,在韓國首爾舉辦的世界黑客破解大賽PwnFest上,由360Vulcan、360Marvel和360Alpha三支團隊組成的360安全聯(lián)隊用時不到10秒就攻破了該賽事上難度最高的項目VMware workstation,一舉打破了七年來無人撼動VMware的神話,獲得15萬美元的高額獎金,并成為全球首個在公開賽事上破解VMware的團隊。 VMware虛擬化軟件不敗神話終被打破 隨著虛擬化平臺的廣泛應用,關于其安全性的探討也絡繹不絕。但一直以來,黑客界都有著共識:對虛擬化平臺的逃逸和破解難度都堪比登天。 試想一下,想要破解虛擬化軟件,需要在虛擬機中執(zhí)行攻擊,并利用虛擬化軟件的漏洞,造成宿主機中的任意代碼執(zhí)行,這相當于從虛擬世界直接攻擊現(xiàn)實世界,橫跨了一個平行世界,攻破虛擬化軟件也因此被黑客們認為是“頂級神技”。 正因如此,除了七年前流傳過一些關于VMware舊版本的破解傳說外,從未有人能在公開的場合撼動它。在今年的Pwn2Own黑客大賽上,主辦方ZDI也曾大手筆懸賞7.5萬美元,但仍沒有人能夠撼動VMware。 本次PwnFest大賽中,主辦方POC(Power of Community)不惜血本,以15萬美元的高價吸引頂尖黑客再度挑戰(zhàn)VMware。最終,360安全聯(lián)隊不負眾望,率先以3個0day漏洞組合攻破VMware,七年的不敗神話終于落幕。 報名四大高難項目沖擊“破解之王” 由360Vulcan、360Marvel、360Alpha組成的360安全聯(lián)隊,分別覆蓋了PC、手機、虛擬化三大平臺。本次比賽他們報名了四大項目,分別是微軟Edge、谷歌Pixel、Adobe Flash Player,以及剛剛破解成功的VMware workstation。作為此次比賽中報名賽事最多的團隊,如果拿下全部項目,360安全聯(lián)隊將有望披上Lord of Pwn(破解之王)的桂冠。 這三支團隊在各自的領域都實力不俗,更是各大知名賽事上的常客。以360Vulcan為例,參加知名黑客大賽Pwn2Own以來,就以“專門挑戰(zhàn)不可能的任務”而廣為人知。2015年成為亞洲首個攻破IE瀏覽器的團隊,2016年又聯(lián)合Alpha團隊挑戰(zhàn)最難項目Chrome,并成為唯一一支成功破解的戰(zhàn)隊。 能夠在世界黑客大賽上拿下最大的熱門項目,除了豐富的國際賽事參賽經驗外,360安全聯(lián)隊背靠的國內最大互聯(lián)網安全公司雄厚的技術實力才是其贏得冠軍的基本保障。迄今為止,360已經協(xié)助各大廠商發(fā)現(xiàn)并修補漏洞500余個,在國內各大安全廠商中遙遙領先,并獲譽“東方最強白帽子軍團”的稱號。 據(jù)了解,本次賽事吸引到了微軟、谷歌、蘋果、Adobe、VMware五大廠商同臺參與,并擔任評委。而本次比賽中所應用的漏洞,也將提交給相應的廠商,共享漏洞信息,及時提升產品安全性,并更好地保護全球用戶的安全。 |