趨勢科技旗下企業AI資安品牌TrendAI表彰全球資安研究社群在Pwn2Own Berlin的卓越貢獻。參賽者在AI資料庫、程式碼代理工具、網路瀏覽器、企業應用程式、伺服器等多個類別中,共揭露了47個獨特的零時差漏洞。
趨勢科技企業事業群營運長金敬秀表示,TrendAI運用業界最深厚的威脅情報來保護客戶。我們將Pwn2Own所發現的漏洞,通報給廠商儘速進行修補,同時透過虛擬修補技術,讓客戶比業界其他人提前獲得防護。隨著AI工具與基礎架構持續成為企業運營的核心,超前掌握漏洞資訊將比以往更為重要。
NVIDIA首次以贊助商身份加入本屆賽事,並將旗下多款產品列入研究人員的漏洞揭露目標,包括Megatron Bridge、NV Container Toolkit及Dynamo。
透過ZDI在Pwn2Own及全年持續進行的漏洞揭露,廠商能夠在網路犯罪分子利用這些漏洞之前,迅速了解並修補漏洞,最終讓受影響軟硬體的企業組織與終端用戶受益。ZDI的研究顯示,越來越多廠商忽視了已向其揭露的軟體漏洞修補作業。透過ZDI的協調揭露流程,TrendAI Vision One客戶平均可比業界其他人提早三個月獲得防護。
本屆賽事亮點包括:
- DEVCORE Research Team的Orange Tsai(@orange_8361)串聯3個漏洞,在Microsoft Exchange上以SYSTEM權限達成遠端程式碼執行,獲得20萬美元獎金;另串聯4個邏輯漏洞,成功突破Microsoft Edge沙盒,獲得17.5萬美元獎金。
- DEVCORE Research Team的Splitline(@splitline)串聯2個漏洞,成功攻破Microsoft SharePoint,獲得10萬美元獎金。
- STARLabs SG(@starlabs_sg)的Nguyen Hoang Thach(@hi_im_d4rkn3ss)利用一個記憶體損毀漏洞,搭配跨租戶程式碼執行附加選項,成功攻破VMware ESXi,獲得20萬美元獎金及20點Master of Pwn積分。
- IBM X-Force Offensive Research(XOR)的Chompie利用單一漏洞攻破NV Container Toolkit,獲得5萬美元獎金。
本屆賽事共頒發1,298,250美元的總獎金。下一場賽事Pwn2Own Cork將於10月舉行。