会员登录
会员注册8月3日,微软面向全球发布了新的系统版本Windows10 RS1,并升级了安全加固措施。然而不到两周后,在8月16日中国互联网安全大会的HackPwn安全极客狂欢节上,360Vulcan Team就成功攻破该系统,并绕过微软最安全的Edge浏览器,完成了迄今为止最高难度的Surface Pro破解秀。
图:360Vulcan Team成功攻破Surface Pro 4
为什么通过攻击Edge破解Surface Pro难度这么高呢?实际上,这个答案早在黑客“世界杯”Pwn2Own的赛场上就得到了国际公认的解释。2015年的Pwn2Own上,攻破Adobe Reader和Adobe Flash获得的奖金相同,都是60000美元,这说明两个项目的破解难度也基本相似。
今年的Pwn2Own大赛上,攻破Edge浏览器能获得10个积分和65000美金奖金,而攻破Adobe Flash只能获得8个积分和60000美元奖金,从积分和奖金的高低能明显看出,Edge的攻击难度要远高于Adobe Flash或Adobe Reader。
要想攻破运行在沙盒中的Edge,需要使用系统内核漏洞等多个漏洞配合才有可能实现。正是因为Edge本身的破解难度极高,以至于此前的比赛上,黑客们虽然也上演过Surface Pro破解秀,但大多是通过攻破Adobe Reader或Flash而控制Surface Pro。
不仅攻击目标难,此次破解秀的攻击环境也极为严苛。作为被力推的产品,Edge一直打着微软最安全浏览器的卖点。今年的Pwn2Own后,微软就马不停蹄地为Edge修复漏洞,截至8月10的补丁日,微软已经专门针对Edge打了20多个安全补丁。
另外,作为Win10的第二次重大更新,微软在8月3日Windows RS1正式版发布的同时,针对Edge浏览器的安全防护也提升到了一个新的层次,提高了利用内核漏洞攻破沙箱而完全控制系统的难度,种种因素加在一起,让Edge浏览器达到了前所未有的安全状态。
在这种极端条件下,想要攻破Edge的难度之大可想而知。但这并不能难住360Vulcan Team, “挑硬骨头啃”是这个团队一贯的传统。2015年Pwn2Own上,他们成功斩获微软全副武装的IE11“独角兽”级别奖项;2016年的Pwn2Own上,他们再次挑战难度最大的谷歌Chrome浏览器,仅用11秒就拿下了这个看似不可能的任务……
图:Pwn2Own上360Vulcan Team成功攻破Chrome
实际上,所谓“史上最难破解××”的称号,远远不只是为了炫技。只有通过黑客们一次次的极限挑战,不断挖掘新的漏洞,才能推动厂商的修复并进而保障全球用户的安全。自2015年成立以来,360Vulcan Team协助微软、谷歌、苹果、Adobe等厂商发现并修复漏洞已超过130个,获得的致谢次数在国内安全研究团队中遥遥领先。
这样厚积薄发的积累让这支团队有足够的底气站在HackPwn这样的舞台上,一次次书写传奇,让全球每一台Windows、Android、iOS和MacOs智能设备能更加安全。