2017年Pwn2Own破解大赛剑指Linux、服务器和Web浏览器
作者:星期二, 一月 24, 20170

Pwn2Own黑客大赛10周年版,奖金超过100万美元,目标范围涵盖虚拟机、服务器、企业应用和Web浏览器。

290x195cibreachcosts1

过去十年,零日计划(ZDI)年度Pwn2Own竞赛,成为了信息安全日历上开年重大活动之一,2017年也不例外。作为Pwn2Own竞赛十周年纪念,如今由趋势科技操办的ZDI,将比之前任何一次都走得更远,目标更多,奖金更高,只要成功执行零日漏洞利用即可获得不菲奖金。

2016年,HPE将其包含有ZDI的TippingPoint部门,以3亿美元的价格,出售给了趋势科技公司。该年的Pwn2own竞赛是两家公司联合举办的。2016年为期2天的竞赛中,成功证明了总共21个零日漏洞的研究人员,分享了46万美元的奖金。

Pwn2own 2017 将与CanSecWest大会一起,于3月15-17日在加拿大温哥华举行。2017大赛将由趋势科技独立赞助,且与去年的大赛不同,不再专注于Web浏览器。

今年的目标中出现了虚拟机,包括VMware和微软Hyper-V系统。研究人员需要从客户虚拟机执行虚拟化管理程序逃逸,以在底层托管操作系统中运行任意代码。成功进行虚拟机逃逸的安全研究员,将获得ZDI提供的10万美元奖励。

趋势科技漏洞研究高级经理布莱恩·戈伦茨说:“我们每年都会考虑新目标。”

Pwn2Own大赛之外,ZDI还是从研究人员那里搜罗安全漏洞的产业,通过其项目主动寻求虚拟机逃逸技术。

Pwn2Own有望提升研究人员的认识,未来可能看到更多此类报告。但尽管虚拟机在本届Pwn2Own目标列表当中,Docker容器却没有。

Linux

过去十年,Pwn2Own针对过基于苹果macOS和微软Windows的技术,但在2017年,开源Linux操作系统终于进驻目标列表。

在两项独立挑战中,研究人员将特别针对 Ubuntu 16.10 Linux操作系统。一项是权限提升,另一项是服务器端Web托管利用。

只要能利用Linux内核漏洞提升权限,研究人员便会得到1.5万美元的奖励。Windows上的提权奖励为3万美元,macOS提权奖励则是2万。

Ubunt系统可通过名为“AppArmor”的额外强制访问控制安全层进行保护,一些情况下可以限制本地用户权限提升漏洞利用的风险。2017年的Pwn2Own竞赛中,ZDI并未设置任何AppArmor。

在服务器端,ZDI对 Ubuntu 16.10 上运行的开源 Apache Web 服务器漏洞利用开出了20万美元的奖励。

Web浏览器

Web浏览器再次成为Pwn2Own主要目标,微软Edge浏览器或谷歌Chrome漏洞利用价值8万美元。苹果的Safari漏洞利用可获5万美元奖金。

2016的竞赛中Mozilla的火狐浏览器未能入选,但今年的目标列表中它强势回归。对火狐浏览器的成功漏洞利用可获3万美元奖励。

Mozilla增强了其安全性,我们完全有理由将其重新包含到竞赛中。

另外,2017 Pwn2Own 竞赛将为每个 Adobe Reader、微软 Office Word、Excel和PowerPoint的成功漏洞利用开出5万美元奖金。总奖金额度超过了以往任何一届Pwn2Own大赛。

戈恩茨说:“最终奖金数额的大部分取决于我们设置的项目数量,肯定会超过100万美元,是迄今为止的最大额度。”

历经十年,Pwn2Own黑客挑战赛很可能继续延续更多个年头。

“虽然生活在完全安全的世界会很美好,但我们知道这是不现实的。Pwn2Own上产生了很多伟大的研究,也激发了很多有价值的研究——最终改善了我们每个人的安全。”

相关阅读

这不是演习:黑客在5分钟内搞定Nexus 6P
今年的移动Pwn2own破解大赛:iPhone+安卓=50万美元

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章