世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

 

 

在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。

過去十年來,Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。

如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。

執行漏洞攻擊可能只是30秒,但要開發比賽時所用的漏洞攻擊碼卻得花上幾百小時

廠商也會進行回應。別的不說,額外的防禦措施(如win32k系統呼叫抑制)就使得漏洞攻擊變得更加困難。在第一屆的Pwn2Own需要用一個漏洞來攻擊QuickTime。在去年,360Vulcan團隊所提交的得獎作法先從Google Chrome render的漏洞開始。接著使用了兩個Flash UAF漏洞。再之後使用kernel object UAF來攻擊Windows kernel。換句話說,用了三個不同廠商的三種不同產品的四個漏洞才成功攻擊了Google Chrome,並將提升權限到SYSTEM等級。這是種進步。

另一個讓Pwn2Own特別突出的原因是必須具備完整的漏洞攻擊過程。研究人員提交漏洞給廠商時不需要有完整且可以作用的漏洞攻擊碼。即便是提交漏洞給ZDI計畫,也不一定需要進行完整的概念證明才被買單(儘管我們強烈建議)。但比賽不同。Pwn2Own需要研究人員從頭到尾去開發漏洞攻擊碼。而且讓我們先說清楚,不管你所看到的是什麼,攻擊這些軟體漏洞所需要可不只是短短30秒。執行漏洞攻擊可能只是30秒,但要開發比賽時所用的漏洞攻擊碼卻得花上大量的時間(通常是幾百小時)。而每個人所看到的只是在大眾面前快速發生的一幕。所以不要少算了那大量的準備時間,這才有辦法到CanSecWest去執行程式碼。

2014年,安裝EMET的系統被認為極難被漏洞攻擊;2015年,每個成功的攻擊都必須去繞過EMET

今年,我們會加上之前Pwn2Owns所沒有包含的目標:Linux,企業應用程式和伺服器端漏洞攻擊。這些是否會像UAF這樣導致新攻擊類型的出現?可能不會。研究人員通常需要一年的時間才能趕上新目標。在2014年,安裝EMET的系統被認為極難被漏洞攻擊。到了2015年,每個成功的攻擊都必須去繞過EMET,而且也都做到了。在2016年,我們推出一個新類別是VMWare逃脫。

我們會在今年看到有漏洞可以從虛擬機器攻擊到實體主機嗎?我們當然希望能看到,我們也期待看到有更多一切都展示出來。在這跟Twitter關注我們來取得最新資訊和比賽結果。更棒的是可以到CanSecWest來加入我們,親眼看到比賽。你永遠不知道有那些新研究將會揭開面紗。

 

@原文出處:Pwn2Own – The Root of Research  作者:Dustin Childs(零時差計劃交流)