Pwn2Own伺服器比賽,今年新增微軟Exchange和SharePoint類別
今年4月6日~8日舉辦的「Pwn2Own 2021」是第14屆的比賽,Pwn2Own去年因為武漢肺炎疫情改為線上賽,今年仍然是採取線上比賽形式。
不過,Pwn2Own原先是鎖定各種常見瀏覽器漏洞的漏洞挖掘比賽,但隨著各種服務和產品的投入,研究類別逐年增加,像是,因為雲端服務的普及,所以Pwn2Own增加「虛擬化」研究項目;在2019年則增加汽車漏洞研究類別(以Tesla為主);今年,因為疫情帶動遠距上班和視訊會議普及,則首度新增Zoom的企業通信漏洞研究類別。
過往,伺服器研究類別中,主要是以微軟Windows RDP/RDS為主,今年則新增微軟Exchange伺服器和SharePoint兩項研究類別,並且將微軟RDP/RDS以及Exchange郵件伺服器的漏洞研究獎金,提高到20萬美金(新臺幣600萬元),要取得最高獎金的前提則必須是不需要進行身分驗證的漏洞攻擊。
由於Pwn2Own比賽採取事先報名,通報相關漏洞後,必須在競賽現場示範,如何成功獲得該漏洞的最高權限(Root),如果可以成功示範該漏洞的團隊,就可以獲得該項目的積分。今年由於仍是線上比賽形式,則會由工作人員示範確認漏洞的有效性。
戴夫寇爾再度鎖定Exchange伺服器漏洞研究奪冠
由於Orange Tsai才於今年初,向微軟通報ProxyLogon的伺服器漏洞,因為在今年二月底,全球發現許多利用微軟EXchange漏洞的PoC攻擊程式,也讓微軟匆匆於今年3月2日緊急釋出修補程式。
由於Orange Tsai向微軟通報的ProxyLogon漏洞,是串連漏洞編號CVE-2021-26855免認證的SSRF(Server Side Request Forgery,伺服器請求偽造漏洞),以及漏洞編號CVE-2021-27065身份驗證後,可以執行檔案任意寫入等兩個漏洞的組合技。
但他發現,先前通報漏洞時,出現SSRF漏洞與APT網軍所擁有的漏洞發生撞洞情況,因此,此次該團隊在報名Pwn2Own參賽時,仍選擇針對Exchange伺服器持續挖掘漏洞,有三隊隊伍同場較技。這樣作法頗有「在哪裡跌倒、就要在哪裡站起來」的風範。
而戴夫寇爾資安研究團隊在這次比賽中,仍發揮擅長組合兩個漏洞的組合技,成功在Exchange伺服器上,以繞過身分認證和提升本地權限的兩個漏洞,以不用驗證的遠端程式碼執行(RCE)攻擊,成功取得Exchange伺服器控制權限。
Orange Tsai更在比賽結束後於臉書表示,比賽本來就是一半比實力、一半比運氣,想想 DEFCON CTF想拿冠軍但總是萬年老二,但Pwn2Own試試水溫就莫名冠軍。
他也進一步解釋,這一次Exchange伺服器漏洞研究中,只有戴夫寇爾資安研究團隊得到完整的分數,另一隊越南隊伍雖然也有挑戰成功,但是所使用的漏洞和戴夫寇爾的漏洞一樣,出現撞洞情況,戴夫寇爾先成功示範,優先取得完整分數;另外一個隊伍因為使用MITM(中間人攻擊)手法,不符合Pwn2Own比賽規則,所以無法得到完整分數。
參加Pwn2Own比賽奪冠,證明臺灣軟體安全實力有世界水準
Pwn2Own是一種證明資安團隊找出零時差漏洞能力的比賽,李倫銓表示,DEFCON CTF比賽,是花三天解答出題團隊的考題,但Pwn2Own卻是資安研究團隊得花一年的時間,去挑戰各種商業軟體的漏洞。他也說,這種比賽不僅比實力,還得比運氣,至少,得確保參賽隊伍找到的零時差漏洞,原廠不會在Pwn2Own比賽之前,就已經先完成漏洞修補。
2016年,中國騰訊安全團隊Sniper (由KeenLab加上PC Manager電腦安全管家組成)在Pwn2Own比賽中,獲得世界破解大師(Master of Pwn)的桂冠,李倫銓當年則在臉書上直言:「即便臺灣隊已經有能力打進DEF CON CTF決賽,但卻連Pwn2Own參賽資格都沒有,這也像徵臺灣軟體安全實力,其實落後世界水準一大截。」
但臺灣資安研究團隊則在五年後,在漏洞研究的世界持續發光發熱,獲得Pwn2Own比賽冠軍,而奪冠的戴夫寇爾資安研究團隊,包括Orange Tsai、Meh和Angelboy三人在內,都是臺灣HITCON CTF戰隊成員之一。
李倫銓認為,臺灣資安研究員歷經CTF比賽的歷練,加上對於商業軟體漏洞研究挖掘的熱情,持續不間斷的研究,才能獲得冠軍殊榮,這也證明臺灣軟體安全實力,已經跟上世界水準了。
