北京時間4月13日�����,歐洲最大的黑客大會Hack in the Box(HITB)在荷蘭阿姆斯特丹舉辦,剛剛在Pwn2Own黑客大賽上獲得總冠軍的360Vulcan團隊亮相HITB���,帶來了“Chakra引擎的秘密:十種方式破解Edge”的議題,分享了他們通過代碼審計挖掘20余枚Edge瀏覽器漏洞的經(jīng)驗�����,并首次公開了獲得微軟“賞金獵手”(Mitigation Bypass)項目獎金的秘密武器��。
圖:360Vulcan團隊在HITB現(xiàn)場演講
瀏覽器漏洞是非常有價值和影響力的攻擊面�����,雖然Edge一直以安全性著稱��,但白帽子們也必須爭分奪秒地發(fā)現(xiàn)未知威脅����,才能防止不法黑客鉆空子。360Vulcan團隊是最早關注Edge安全的團隊之一����,在POC、Syscan等安全峰會上都曾分享過瀏覽器的前沿研究成果���。
Chakra引擎是微軟下一代的開源腳本引擎�,360Vulcan團隊通過代碼審計�,累計發(fā)現(xiàn)20多個安全漏洞�,并實現(xiàn)以多種不同的方式攻破Edge瀏覽器。在議題中�,360Vulcan介紹了Chakra引擎相較于老牌IE腳本引擎的新特點����,并從程序開發(fā)者的角度探索了新的攻擊思路�。
微軟一直鼓勵研究人員報告其產(chǎn)品漏洞�����,還特別推出賞金計劃專門為Mitigation Bypass(繞過系統(tǒng)安全機制的攻擊技術)提供獎金����。2016年�,微軟共修補漏洞500余枚,但獲得賞金的只有12名研究人員����,360Vulcan團隊的成員劉龍就是其中之一�����。在HITB上����,他們首次公開了獲得獎金的秘密武器�����,和國際著名的安全專家共同探討信息安全新課題。
360Vulcan團隊作為360安全衛(wèi)士的攻防研究團隊�,除了屢次登上各大安全會議展現(xiàn)硬實力外,還在黑客大賽中取得了不凡的成績�����,創(chuàng)造了亞洲首次攻破IE和Chrome�����,全球首破VMware等戰(zhàn)績�����,在今年的Pwn2Own中����,他們又攻破了基于Win10的Edge瀏覽器并實現(xiàn)VMware
虛擬機逃逸���,拿下Pwn2Own有史以來的最高單項得分�����,并最終獲得Master of Pwn的總冠軍����。
HITB是歐洲規(guī)模最大����、水平最高的信息安全會議,每年在荷蘭阿姆斯特丹和馬來西亞吉隆坡舉辦兩次��。據(jù)了解,參會議題需要經(jīng)過申報���、評選等程序,只有具有引領性的前沿核心技術���,以及在網(wǎng)絡安全領域最受尊重的研究者才能入選該會議。國內共有三個議題登上了HITB的舞臺���,除了360Vulcan團隊外,專注于無線電安全研究的360Unicorn Team以及獨立安全研究員洪宇也分別登臺演講。
京公網(wǎng)安備 11010502041587號