专栏首页FreeBufPwn2Own十周年官方总结 | 黑客大赛推动安全研究

Pwn2Own十周年官方总结 | 黑客大赛推动安全研究

2017年是Pwn2Own黑客大赛十周年,赛事主办方ZDI特别在官方博客发文“PWN2OWN:THE ROOT OF RESEARCH”,总结了Pwn2Own对安全研究的推动作用:

在过去十年的Pwn2Own中,不同的人对于这个比赛持有不同的态度。

它曾经被认为是浏览器安全的一场灾难,但实际上这么多年来浏览器并未出现过什么大问题;它帮助人们实现了职业理想,或者至少来说,它帮助参赛者提升了名望;它曾经被指责碾碎了狂热和仇恨者的灵魂,但实际上并没有人在Pwn2Own的历史上受到过伤害,而我们也没有对他们的灵魂做出过拷问。

当然,对于Pwn2Own来说还有更偏激的断言,比如说Pwn2Own就是个“安全的小剧场”,他们觉得它只是一场好的表演,但是并没展示实质性的内容。

但事实恰恰相反,Pwn2Own已经成为了网络安全研究的推动力。

实际上,Pwn2Own比赛中使用的漏洞十分复杂,而通过比赛披露的一些漏洞也让研究者赢得了安全圈的众多嘉奖,例如Pwnie奖项。

除此之外,在Pwn2Own上出现的漏洞推动着其他安全从业者进行研究并最终促使各大厂商出台了相应的漏洞缓和措施。

举例来说,几年之前,赛场上出现利用UAF(use after free)漏洞攻破浏览器(尤其是IE浏览器)的情况,这让其他研究者也致力于挖掘UAF类型漏洞并将它们报告给ZDI。众多的UAF漏洞被发现,最终促使微软引入了如隔离堆、内存保护等措施缓解UAF漏洞的利用。

ZDI的研究者在深入研究这些缓和措施后,也发现了一些问题。这些发现被提交给微软的Mitigation Bypass Bounty(缓和机制绕过赏金项目),并获得了125,000美元的奖金(奖金全部捐给了慈善机构)。

如果没有Pwn2Own的话,UAF漏洞究竟会不会变得如此流行?也许会吧,但是Pwn2Own比赛在一定程度上推动了UAF漏洞的研究,并让浏览器变得更加安全,这一点是毋庸置疑的。

当然,我们所说的不仅仅局限于UAF漏洞,十年来比赛中利用了多种类型的漏洞,而这些漏洞在赛场出现之后都在安全领域都变得更加常见,或者说流行起来,比如沙箱逃逸、符号链接攻击、控制流保护(CFG)绕过、字体滥用等等。

各大厂商也积极地对漏洞进行响应,如今不考虑其他因素的话,微软新增的防御措施比如说抑制Win32k系统调用就会让漏洞利用变得更加困难。第一届Pwn2Own上,只需要一个漏洞就可以攻破QuickTime。

而在去年的Pwn20wn上,从360Vulcan团队提交的漏洞细节来看,他们使用一个Chrome浏览器渲染引擎的漏洞、两个Flash的UAF漏洞,再加上一个微软内核的UAF漏洞,也就是说,他们用了三个不同厂商的三个产品的四个漏洞,成功攻破Chrome浏览器并获得系统权限。

从这个对比来看,如今漏洞利用的难度越来越高,这是一种进步。

让人们对Pwn2Own另眼相看的另一个方面,就是在比赛中需要一个完整的攻击链。研究人员平时向各大厂商提交漏洞的时候,不需要提供完整的漏洞利用细节,哪怕是向ZDI提交漏洞,也不需要提供完整的攻击思路才能获取奖励(当然,我们还是高度鼓励研究人员向我们提供完整漏洞利用思路的)。

但是,比赛是不同的。Pwn2Own需要参赛者从头到尾提供完整的漏洞利用细节。需要说清的是,不管你听过的说法是怎样的,想要成功攻破一个项目无论如何花费的时间都要比30秒长得多。

虽然执行攻击的时间可能仅仅花费30秒,但这背后却需要大量的时间来进行研究,安全研究者经常需要花费掉几百个小时才能想出在赛场上使用的攻击方式。

其他人看到的仅仅是比赛破解的那一小会,但是千万不要忽视他们在来到CanSecWest的赛场前准备攻击代码时花掉的大量的时间。

今年的pwn2own,我们加入了以前没有的一些新项目,比如: Linux、企业应用和服务器端。这些是不是表明有类似此前UAF这样的新的攻击出现呢?这不见得!研究人员通常需要一年的时间才能了解清楚新添加的攻击目标。

在2014年里,安装了EMET的系统被认为是攻击难度极高的“独角兽”,而到2015年,所有攻击都能成功绕过EMET。在2016年,我们引进了VMWare破解项目,那么今年我们会不会看到从虚拟机到宿主机的攻击呢?

我们当然十分期待这一幕的出现,我们也希望看到各种新的攻击形式的出现,从现在加入我们吧!在Twitter上可以了解Pwn2Own的最新信息,当然我们更期待在CanSecWest上看到你的身影。

在这里,你永远也想不到下一个揭秘的,是什么样新型的研究成果。

原文链接:https://www.zerodayinitiative.com/blog/2017/3/2/pwn2own-the-root-of-research

本文分享自微信公众号 - FreeBuf(freebuf),作者:安全研究所

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微软对外披露两个0day漏洞详情

    微软近日对外披露了两个0day漏洞详情,其中一个漏洞存在Adobe阅读器中,可被利用导致任意代码执行;另一个漏洞则允许任意代码在Windows kernel内存...

    FB客服
  • 谷歌Project Zero漏洞披露政策变更,建议满90天后再公开

    谷歌Project Zero网络安全团队试行一项新政策,该政策表明即使在漏洞修复之后也不会过早地披露漏洞细节。该缓冲期默认为90天,这意味着无论何时修复漏洞,都...

    FB客服
  • 针对《网络安全漏洞管理规定(征求意见稿)》的一些看法:利大于弊

    6月18日晚间,工信部一纸《网络安全漏洞管理规定 (征求意见稿)》(以下简称规定)很快引爆了安全圈……FreeBuf上一位作者及时发布了一篇针对该意见稿的解读文...

    FB客服
  • 微软对外披露两个0day漏洞详情

    微软近日对外披露了两个0day漏洞详情,其中一个漏洞存在Adobe阅读器中,可被利用导致任意代码执行;另一个漏洞则允许任意代码在Windows kernel内存...

    FB客服
  • 2018年十大最常被利用的漏洞:微软排第一

    据Recorded Future发布的一份新报告显示,2018年十大最常被利用的漏洞中,绝大多数都与微软有关,但这并不是报告中有关威胁形势的唯一关键发现。

    周俊辉
  • Discuz!X ≤3.4 任意文件删除漏洞复现

    Discuz!X社区软件,是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。

    漏洞知识库
  • 谷歌Project Zero漏洞披露政策变更,建议满90天后再公开

    谷歌Project Zero网络安全团队试行一项新政策,该政策表明即使在漏洞修复之后也不会过早地披露漏洞细节。该缓冲期默认为90天,这意味着无论何时修复漏洞,都...

    FB客服
  • 安全漏洞公告

    多个IBM产品存在未明SQL注入漏洞 多个IBM产品存在未明SQL注入漏洞发布时间:2014-01-13漏洞编号:BUGTRAQ ID:64749 CVE ID...

    安恒信息
  • 【漏洞治理】漏洞调研报告(非完整版)

    “ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。”

    aerfa
  • 鉴谈漏洞利用

    前言本来不想讲这个事情,但是因为很多小白对这方面可能不太了解,所以讲一讲,关于鉴定网络上流传漏洞poc或exp的方法,原因是这二天关于cve-2019-0708...

    周俊辉

扫码关注云+社区

领取腾讯云代金券