全球白帽駭客最高殿堂 Pwn2Own 漏洞研究競賽於上周落幕,來自台灣的攻擊型資安公司 DEVCORE(戴夫寇爾)傳捷報,為台灣奪下有史以來第一座冠軍獎盃,贏得駭客大師(「Master of Pwn」)頭銜!Pwn2Own 競賽為 Zero Day Initiative(ZDI)漏洞懸賞計畫所舉辦的年度盛事,年年邀請世界級頂尖白帽駭客共同挖掘各種大型企業的零時差漏洞,被譽為「白帽駭客實力的最高殿堂」。
DEVCORE早在 2020 年底即領先全球發現並通報
兩個 Microsoft Exchange 伺服器漏洞ProxyLogon (CVE-2021-26855 及CVE-2021-27065),研究團隊於 2021 Pwn2Own 競賽中再次針對 Microsoft Exchange 伺服器深入鑽研,串聯兩個新挖掘的漏洞(包含「認證繞過漏洞」和「本地權限提升漏洞」)成為在 Microsoft Exchange 伺服器上無須驗證的遠端代碼執行(RCE)漏洞。DEVCORE 研究團隊為該組(Server Category)唯一得到完整分數的參賽團隊,且以單一參賽項目獲得 20 分滿分的積分,榮獲高達 20 萬美元(約合新台幣 600 萬元)的冠軍獎金,成為首個獲得 Pwn2Own 冠軍殊榮的台灣隊伍。
相關新聞: 多個駭客組織鎖定微軟ProxyLogon漏洞
此次領軍的 DEVCORE 首席資安研究員暨研究組組長蔡政達(Orange Tsai)表示,「很榮幸可以在 Pwn2Own 競賽中為台灣爭光,讓世界看見台灣資安研究的能量,也為完善全球資安體系盡一份力。展望未來,我們仍會秉持著對資安研究的最大熱忱,繼續為世界帶來一流的研究成果。」
疫情影響競賽難度加劇!DEVCORE 再次挖掘 Microsoft Exchange 伺服器漏洞奪冠
Pwn2Own 是國際級白帽駭客的聖殿,包含 Apple、Google、Microsoft、VMware 等國際企業皆共襄盛舉,其中電動車大廠 Tesla 更祭出高達 50 萬美元(約合新台幣 1,500 萬元)的獎金,邀請大家共同挖掘其零時差漏洞。受疫情影響, Pwn2Own 自 2020 年起改為遠端進行,過去參賽團隊需飛至加拿大參賽,若程式碼嘗試失敗可於現場進行兩次調整;賽事調整為遠端進行後,參加隊伍需在比賽前將「完美的」攻擊程式碼交給 ZDI,由其執行並判定結果,若程式碼沒寫好,無法進行二次調整,對參賽團隊來說是更大的挑戰。而 2021 年為 DEVCORE 團隊第二次參賽,過去他們曾在 2020 年底的 Pwn2Own 分支競賽 Pwn2Own Mobile 中取得第二名的佳績。
DEVCORE 團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,共同維繫全球資訊安全,堅持透過最強的攻擊能量,協助企業建構強韌的防禦體系。DEVCORE 是第一個在台灣推出「紅隊演練」(Red Team Assessment)主動式資安檢測服務的公司,客戶涵蓋政府、金融、電商、半導體、醫療等產業,在企業同意、不影響企業營運的前提下,對企業進行模擬入侵攻擊,在有限的時間內從各種進入點執行攻擊,嘗試達成企業指定的測試任務,自 2017 推出紅隊演練服務至今,創造 100% 取得內網存取權限的紀錄,持續獲得客戶的高度青睞。