近日����,在韓國首爾舉辦的世界黑客大賽PwnFest上�,來自中國的360安全聯隊利用3枚0day漏洞攻破了虛擬化軟件VMware,成為全球首個公開挑戰該項目成功的團隊。韓國神童Lokihardt緊隨其后,也成功對該項目進行了破解�。VMware官方隨即發布消息�,對協助其發現未知漏洞的360及Lokihardt進行致謝��,并表示已經著手修復存在的安全問題�����。
圖:VMware官方致謝360安全聯隊
VMware在安全圈內一直有著“不敗金身”的稱號,而實現虛擬化平臺的逃逸更被認為是頂級黑客神技�����。除了七年前VMware的舊版本曾有過被破解的傳說外�����,從未有黑客能在公開賽事上成功破解該項目。今年的Pwn2Own上���,VMware首次公開擺擂就讓全球頂尖高手折戟,主辦方大手筆設置了7.5萬美金也沒能撼動VMware分毫��。
在虛擬機中執行攻擊����,并利用虛擬化軟件的漏洞,實現在宿主機中執行任意代碼��,這相當于從虛擬世界直接攻擊現實世界���,橫跨了一個平行世界,正因如此�,一直到幾天前�,VMware還是黑客們眼中的終極難題���。
本次PwnFest上���,主辦方POC(Power of Community)設置了15萬美元的高額獎金��,吸引頂尖黑客再度挑戰VMware�。經過抽簽決定比賽順序�,360安全聯隊和韓國神童Lokihardt先后出場,分別實現了從虛擬機攻入宿主機執行任意代碼���,VMware的不敗神話終于落幕。
圖:360安全聯隊10秒打破VMware不破神話
PwnFest黑客大賽由微軟�����、谷歌�、蘋果�����、Adobe����、VMware五大廠商擔當評委��,比賽選手使用的所有漏洞細節均提交給相應廠商進行修復�����,以保障用戶的安全。360安全聯隊除了攻破VMware之外�����,還成功破解了Edge��、Pixel���、Flash三個項目�,共獲得53萬美元的獎金;韓國神童Lokihardt攻破Edge和VMware workstation獲得29萬美元獎金�,盤古&JH聯隊則攻破Safari獲得10萬美元獎金。最終����,360以最高的獎金獲得“破解之王”的金牌���。
圖:360安全聯隊獲“破解之王”獎牌
京公網安備 11010502041587號