Pwn2Own首次远程黑客竞赛结果出炉,MacOS、Windows与Ubuntu三大操作系统全沦陷

趋势科技旗下Zero Day Initiative(ZDI)原本要在今年3月18日,于加拿大温哥华举办Pwn2Own黑客竞赛,因受到新冠肺炎疫情的影响,而改为线上举行,研究人员只能通过ZDI员工代为展开攻击,即便如此,研究人员还是成功攻陷了Windows 10 19H2(1909)、macOS Catalina与Ubuntu 19.10 for Desktop三大操作系统。

为了避免舟车劳顿而感染新冠肺炎病毒,Pwn2Own首度采取了远程参赛程序,由研究人员提供开采的相关文件,再由ZDI员工负责执行攻击行动,所有的攻击行动都会以视频记​录以供研究人员查看,双方则通过手机或视频进行沟通。

而通过Pwn2Own竞赛所披露的bug,也会利用类似的方法提交给产品开发企业。

在此次的竞赛中,Fluorescence团队攻陷Windows 10本地端权限扩张漏洞,抱走了4万美元的奖金。Georgia Tech Systems Software & Security Lab团队则串联了6个bug,通过macOS的权限扩张漏洞,攻陷了Safari,赢得了7万美元的奖金。RedRocket CTF团队,则是攻陷Ubuntu的本地端权限扩张漏洞,夺下3万美元奖金,意味着三大操作系统的最新版本全都沦陷。

其它被攻陷的产品,还包括甲骨文的VirtualBox及Adobe Reader等。研究人员在该史无前例的远程竞赛中,总计抱走27万美元的奖金。

发表评论