11月10日,在韩国首尔举办的世界黑客破解大赛PwnFest上,由360Vulcan、360Marvel和360Alpha三支团队组成的360安全联队用时不到10秒就攻破了该赛事上难度最高的项目VMware workstation,一举打破了七年来无人撼动VMware的神话,获得15万美元的高额奖金,并成为全球首个在公开赛事上破解VMware的团队。
VMware虚拟化软件不败神话终被打破
随着虚拟化平台的广泛应用,关于其安全性的探讨也络绎不绝。但一直以来,黑客界都有着共识:对虚拟化平台的逃逸和破解难度都堪比登天。
试想一下,想要破解虚拟化软件,需要在虚拟机中执行攻击,并利用虚拟化软件的漏洞,造成宿主机中的任意代码执行,这相当于从虚拟世界直接攻击现实世界,横跨了一个平行世界,攻破虚拟化软件也因此被黑客们认为是“顶级神技”。
正因如此,除了七年前流传过一些关于VMware旧版本的破解传说外,从未有人能在公开的场合撼动它。在今年的Pwn2Own黑客大赛上,主办方ZDI也曾大手笔悬赏7.5万美元,但仍没有人能够撼动VMware。
本次PwnFest大赛中,主办方POC(Power of Community)不惜血本,以15万美元的高价吸引顶尖黑客再度挑战VMware。最终,360安全联队不负众望,率先以3个0day漏洞组合攻破VMware,七年的不败神话终于落幕。
报名四大高难项目冲击“破解之王”
由360Vulcan、360Marvel、360Alpha组成的360安全联队,分别覆盖了PC、手机、虚拟化三大平台。本次比赛他们报名了四大项目,分别是微软Edge、谷歌Pixel、Adobe Flash Player,以及刚刚破解成功的VMware workstation。作为此次比赛中报名赛事最多的团队,如果拿下全部项目,360安全联队将有望披上Lord of Pwn(破解之王)的桂冠。
这三支团队在各自的领域都实力不俗,更是各大知名赛事上的常客。以360Vulcan为例,参加知名黑客大赛Pwn2Own以来,就以“专门挑战不可能的任务”而广为人知。2015年成为亚洲首个攻破IE浏览器的团队,2016年又联合Alpha团队挑战最难项目Chrome,并成为唯一一支成功破解的战队。
能够在世界黑客大赛上拿下最大的热门项目,除了丰富的国际赛事参赛经验外,360安全联队背靠的国内最大互联网安全公司雄厚的技术实力才是其赢得冠军的基本保障。迄今为止,360已经协助各大厂商发现并修补漏洞500余个,在国内各大安全厂商中遥遥领先,并获誉“东方最强白帽子军团”的称号。
据了解,本次赛事吸引到了微软、谷歌、苹果、Adobe、VMware五大厂商同台参与,并担任评委。而本次比赛中所应用的漏洞,也将提交给相应的厂商,共享漏洞信息,及时提升产品安全性,并更好地保护全球用户的安全。