目前由安全公司趋势科技负责运维的Zero Day Initiative(ZDI)零时差漏洞通报计划,每年都会邀请全球顶尖白帽黑客举办Pwn2Own活动,借由挖掘到的各种零时差漏洞,取得不同产品和服务的主控权,号称是测试白帽黑客挖漏洞实力的最高殿堂。
台湾安全研究团队戴夫寇尔(Devcore)由首席安全研究员Orange Tsai率领团队成员Meh和Angelboy针对微软邮件服务器Exchange进行漏洞挖掘,再度组合两个漏洞,包括:认证绕过漏洞和本地权限提升漏洞,去完成在Exchange服务器上不用验证的远程代码执行(RCE)。
今年有三队队伍报名微软Exchange服务器漏洞挖掘比赛,只有戴夫寇尔得到完整分数,并且以单一参赛项目(Exchange服务器)获得20分满分积分,与其他二队“OV”和“Daan Keuper abd Thijs Alkemade From Computest”并列冠军,同时获得破解大师(Master of Pwn)的桂冠。这也是首度有台湾队伍获得Pwn2Own冠军殊荣。
早在2016年,台湾HITCON CTF战队领队李伦铨便曾经预言:“对于台湾而言,如果有一天有队伍可以参加Pwn2Own比赛,也象征台湾软件安全实力已经大幅进步。”五年之后,戴夫寇尔安全研究团队终于带着CTF比赛的历练,加上对企业商用软件漏洞研究的热情,站上Pwn2Own白帽黑客漏洞研究的最高殿堂,成为台湾安全研究之光。
今年4月6日~8日举办的“Pwn2Own 2021”是第14届的比赛,Pwn2Own去年因为新冠肺炎疫情改为线上赛,今年仍然是采取线上比赛形式。
不过,Pwn2Own原先是锁定各种常见浏览器漏洞的漏洞挖掘比赛,但随着各种服务和产品的投入,研究类别逐年增加,像是,因为云计算服务的普及,所以Pwn2Own增加“虚拟化”研究项目;在2019年则增加汽车漏洞研究类别(以Tesla为主);今年,因为疫情带动远程上班和视频会议普及,则首度添加Zoom的企业通信漏洞研究类别。
以往,服务器研究类别中,主要是以微软Windows RDP/RDS为主,今年则添加微软Exchange服务器和SharePoint两项研究类别,并且将微软RDP/RDS以及Exchange邮件服务器的漏洞研究奖金,提高到20万美金,要取得最高奖金的前提则必须是不需要进行身份验证的漏洞攻击。
由于Pwn2Own比赛采取事先报名,通报相关漏洞后,必须在竞赛现场示范,如何成功获得该漏洞的最高权限(Root),如果可以成功示范该漏洞的团队,就可以获得该项目的积分。今年由于仍是线上比赛形式,则会由工作人员示范确认漏洞的有效性。
由于Orange Tsai才于今年初,向微软通报ProxyLogon的服务器漏洞,因为在今年二月底,全球发现许多利用微软EXchange漏洞的PoC攻击程序,也让微软匆匆于今年3月2日紧急发布修补程序。
由于Orange Tsai向微软通报的ProxyLogon漏洞,是串联漏洞编号CVE-2021-26855免认证的SSRF(Server Side Request Forgery,服务器请求伪造漏洞),以及漏洞编号CVE-2021 -27065身份验证后,可以执行文件任意写入等两个漏洞的组合技。
但他发现,先前通报漏洞时,出现SSRF漏洞与APT网军所拥有的漏洞发生撞洞情况,因此,此次该团队在报名Pwn2Own参赛时,仍选择针对Exchange服务器持续挖掘漏洞,有三队队伍同场较技。这样做法颇有“在哪里跌倒、就要在哪里站起来”的风范。
而戴夫寇尔安全研究团队在这次比赛中,仍发挥擅长组合两个漏洞的组合技,成功在Exchange服务器上,以绕过身份认证和提升本地权限的两个漏洞,以不用验证的远程代码执行(RCE)成功取得Exchange服务器控制权限。
Orange Tsai更在比赛结束后于脸书表示,比赛本来就是一半比实力、一半比运气,想想DEFCON CTF想拿冠军但总是万年老二,但Pwn2Own试试水温就莫名冠军。
他也进一步解释,这一次Exchange服务器漏洞研究中,只有戴夫寇尔安全研究团队得到完整的分数,另一队越南队伍虽然也有挑战成功,但是所使用的漏洞和戴夫寇尔的漏洞一样,出现撞洞情况,戴夫寇尔先成功示范,优先取得完整分数;另外一个队伍因为使用MITM(中间人攻击)手法,不符合Pwn2Own比赛规则,所以无法得到完整分数。
Pwn2Own是一种证明安全团队找出零时差漏洞能力的比赛,李伦铨表示,DEFCON CTF比赛,是花三天解答出题团队的考题,但Pwn2Own却是安全研究团队得花一年的时间,去挑战各种商业软件的漏洞。他也说,这种比赛不仅比实力,还得比运气,至少,得确保参赛队伍找到的零时差漏洞,原厂不会在Pwn2Own比赛之前,就已经先完成漏洞修补。
2016年,中国腾讯安全团队Sniper(由KeenLab加上PC Manager计算机安全管家组成)在Pwn2Own比赛中,获得世界破解大师(Master of Pwn)的桂冠,李伦铨当年则在脸书上直言:“即便台湾队已经有能力打进DEF CON CTF决赛,但却连Pwn2Own参赛资格都没有,这也像征台湾软件安全实力,其实落后世界水准一大截。”
但台湾安全研究团队则在五年后,在漏洞研究的世界持续发光发热,获得Pwn2Own比赛冠军,而夺冠的戴夫寇尔安全研究团队,包括Orange Tsai、Meh和Angelboy三人在内,都是台湾HITCON CTF战队成员之一。
李伦铨认为,台湾安全研究员历经CTF比赛的历练,加上对于商业软件漏洞研究挖掘的热情,持续不间断的研究,才能获得冠军殊荣,这也证明台湾软件安全实力,已经跟上世界水准了。