北京时间3月18日,在加拿大进行的Pwn2Own 2017世界黑客大赛上,360安全战队成功实现了对Edge+Win10+ VMware虚拟机的连环三杀破解,一举创下单项积分27分的历史最高记录,这也是Pwn2Own举办十年来首次打破VMware的“不败金身”。在这场黑客大赛史上最高难度破解之后,360安全战队以63分的成绩锁定积分榜首,荣获大赛官方颁发的“Master of Pwn”(世界破解大师)总冠军。
VMware是全球虚拟化解决方案的基础软件,相当于建立了一个虚拟世界。实现VMware虚拟机逃逸则意味着从黑客从虚拟世界跨越到真实世界,被称为攻击技术的顶级神技。单纯实现虚拟机逃逸已经很难,此前只有360安全战队和韩国神童Lokihardt在2016年PwnFest黑客大赛上成功攻破。攻破Edge和Win10再完成VMware虚拟机逃逸更是复杂度倍增,难度系数史无前例。
360安全战队世界黑客大赛夺冠捧杯
经过大赛主办方、美国五角大楼网络安全服务商ZDI和微软、VMware审核,一致认为360实现了完美破解,表示此次攻击的神奇技术令人难以置信。当被问及本届大赛印象最深刻的项目时,ZDI表示毫无疑问是360的连环破解,其难度远远超过破解独立的VMware虚拟机。ZDI官方推特直接惊呼:Wow,just wow!
据了解,360安全战队由360Vulcan Team、Marvel Team以及360代码卫士的核心成员组成。该团队在此前Pwn2Own、PwnFest等世界黑客赛场上屡获冠军,创下了中国首次攻破Chorme、亚洲首次攻破IE11、全球首次攻破VMware等一系列记录。在2016年,360一共408次获得国际厂商漏洞公告致谢,漏洞报告数量排名全球第一。
360安全战队以总积分63分排名Pwn2Own官方积分榜榜首
Pwn2Own是全球最富盛名的黑客破解大赛,由美国五角大楼网络安全服务商TippingPoint的项目组ZDI主办,微软、谷歌、苹果、Adobe、VMware等国际巨头官方支持并担纲裁判,所有被攻破的产品都会由相关厂商修复漏洞,从而推动了各大操作系统和软件安全性的提升。今年正值Pwn2Own十周年,是历届以来奖金最高、项目最多、规模最大的一次,共吸引了美国、德国和中国的11支团队参赛。
经过长达三天的激战,本届Pwn2Own正式结束。根据大赛官方公告,360安全战队此前已经攻破了苹果Safari、MacOS、Adobe Reader、Flash、Windows10五大项目,再加上此次连环破解,360在参赛项目中全部获得成功,并以总积分63分、总奖金28万美元在积分榜和奖金榜均排名榜首,赢得大赛主办方ZDI和微软、苹果等巨头颁发的“世界破解大师”冠军奖杯。另外两支中国团队腾讯Sniper团队和长亭实验室分别名列第二和第三。
360安全战队负责人郑文彬表示,本次比赛体现了360在多个不同平台上全方位领先的综合实力,只有覆盖项目足够多、难度足够高的团队,才有机会竞争冠军。通过Pwn2Own夺冠,一方面是在世界舞台上展示中国安全研究人员的技术水平,另一方面也推动各大厂商提升产品的安全性。