臺灣資安研究團隊戴夫寇爾(Devcore)在Pwn2Own比賽項目中,鎖定微軟Exchange郵件伺服器漏洞,成功以遠端代碼執行(RCE)漏洞,取得Exchange郵件伺服器主控權,獲得完整分數奪冠。

目前由資安公司趨勢科技負責維運的Zero Day Initiative(ZDI)零時差漏洞通報計畫,每年都會邀請全球頂尖白帽駭客舉辦Pwn2Own活動,藉由挖掘到的各種零時差漏洞,取得不同產品和服務的主控權,號稱是測試白帽駭客挖漏洞實力的最高殿堂。

臺灣資安研究團隊戴夫寇爾(Devcore)由首席資安研究員Orange Tsai率領團隊成員Meh和Angelboy針對微軟郵件伺服器Exchange進行漏洞挖掘,再度組合兩個漏洞,包括:認證繞過漏洞和本地權限提升漏洞,去完成在Exchange伺服器上不用驗證的遠端程式碼執行(RCE)攻擊。

今年有三隊隊伍報名微軟Exchange伺服器漏洞挖掘比賽,只有戴夫寇爾得到完整分數,並且以單一參賽項目(Exchange伺服器)獲得20分滿分積分,並獲得20萬美元(新臺幣600萬元)的獎金;與其他二隊「OV」和「Daan Keuper and Thijs Alkemade From Computest」並列冠軍,同時獲得破解大師(Master of Pwn)的桂冠。這也是首度有臺灣隊伍獲得Pwn2Own冠軍殊榮。

早在2016年,臺灣HITCON CTF戰隊領隊李倫銓便曾經預言:「對於臺灣而言,如果有一天有隊伍可以參加Pwn2Own比賽,也象徵臺灣軟體安全實力已經大幅進步。」五年之後,戴夫寇爾資安研究團隊終於帶著CTF比賽的歷練,加上對企業商用軟體漏洞研究的熱情,站上Pwn2Own白帽駭客漏洞研究的最高殿堂,成為臺灣資安研究之光。

Pwn2Own伺服器比賽,今年新增微軟Exchange和SharePoint類別

今年4月6日~8日舉辦的「Pwn2Own 2021」是第14屆的比賽,Pwn2Own去年因為武漢肺炎疫情改為線上賽,今年仍然是採取線上比賽形式。

不過,Pwn2Own原先是鎖定各種常見瀏覽器漏洞的漏洞挖掘比賽,但隨著各種服務和產品的投入,研究類別逐年增加,像是,因為雲端服務的普及,所以Pwn2Own增加「虛擬化」研究項目;在2019年則增加汽車漏洞研究類別(以Tesla為主);今年,因為疫情帶動遠距上班和視訊會議普及,則首度新增Zoom的企業通信漏洞研究類別。

過往,伺服器研究類別中,主要是以微軟Windows RDP/RDS為主,今年則新增微軟Exchange伺服器和SharePoint兩項研究類別,並且將微軟RDP/RDS以及Exchange郵件伺服器的漏洞研究獎金,提高到20萬美金(新臺幣600萬元),要取得最高獎金的前提則必須是不需要進行身分驗證的漏洞攻擊。

由於Pwn2Own比賽採取事先報名,通報相關漏洞後,必須在競賽現場示範,如何成功獲得該漏洞的最高權限(Root),如果可以成功示範該漏洞的團隊,就可以獲得該項目的積分。今年由於仍是線上比賽形式,則會由工作人員示範確認漏洞的有效性。

戴夫寇爾再度鎖定Exchange伺服器漏洞研究奪冠

由於Orange Tsai才於今年初,向微軟通報ProxyLogon的伺服器漏洞,因為在今年二月底,全球發現許多利用微軟EXchange漏洞的PoC攻擊程式,也讓微軟匆匆於今年3月2日緊急釋出修補程式。

由於Orange Tsai向微軟通報的ProxyLogon漏洞,是串連漏洞編號CVE-2021-26855免認證的SSRF(Server Side Request Forgery,伺服器請求偽造漏洞),以及漏洞編號CVE-2021-27065身份驗證後,可以執行檔案任意寫入等兩個漏洞的組合技。

但他發現,先前通報漏洞時,出現SSRF漏洞與APT網軍所擁有的漏洞發生撞洞情況,因此,此次該團隊在報名Pwn2Own參賽時,仍選擇針對Exchange伺服器持續挖掘漏洞,有三隊隊伍同場較技。這樣作法頗有「在哪裡跌倒、就要在哪裡站起來」的風範。

而戴夫寇爾資安研究團隊在這次比賽中,仍發揮擅長組合兩個漏洞的組合技,成功在Exchange伺服器上,以繞過身分認證和提升本地權限的兩個漏洞,以不用驗證的遠端程式碼執行(RCE)攻擊,成功取得Exchange伺服器控制權限。

Orange Tsai更在比賽結束後於臉書表示,比賽本來就是一半比實力、一半比運氣,想想 DEFCON CTF想拿冠軍但總是萬年老二,但Pwn2Own試試水溫就莫名冠軍。

他也進一步解釋,這一次Exchange伺服器漏洞研究中,只有戴夫寇爾資安研究團隊得到完整的分數,另一隊越南隊伍雖然也有挑戰成功,但是所使用的漏洞和戴夫寇爾的漏洞一樣,出現撞洞情況,戴夫寇爾先成功示範,優先取得完整分數;另外一個隊伍因為使用MITM(中間人攻擊)手法,不符合Pwn2Own比賽規則,所以無法得到完整分數。

參加Pwn2Own比賽奪冠,證明臺灣軟體安全實力有世界水準

Pwn2Own是一種證明資安團隊找出零時差漏洞能力的比賽,李倫銓表示,DEFCON CTF比賽,是花三天解答出題團隊的考題,但Pwn2Own卻是資安研究團隊得花一年的時間,去挑戰各種商業軟體的漏洞。他也說,這種比賽不僅比實力,還得比運氣,至少,得確保參賽隊伍找到的零時差漏洞,原廠不會在Pwn2Own比賽之前,就已經先完成漏洞修補。

2016年,中國騰訊安全團隊Sniper (由KeenLab加上PC Manager電腦安全管家組成)在Pwn2Own比賽中,獲得世界破解大師(Master of Pwn)的桂冠,李倫銓當年則在臉書上直言:「即便臺灣隊已經有能力打進DEF CON CTF決賽,但卻連Pwn2Own參賽資格都沒有,這也像徵臺灣軟體安全實力,其實落後世界水準一大截。」

但臺灣資安研究團隊則在五年後,在漏洞研究的世界持續發光發熱,獲得Pwn2Own比賽冠軍,而奪冠的戴夫寇爾資安研究團隊,包括Orange Tsai、Meh和Angelboy三人在內,都是臺灣HITCON CTF戰隊成員之一。

李倫銓認為,臺灣資安研究員歷經CTF比賽的歷練,加上對於商業軟體漏洞研究挖掘的熱情,持續不間斷的研究,才能獲得冠軍殊榮,這也證明臺灣軟體安全實力,已經跟上世界水準了。

熱門新聞

Advertisement