再傳捷報！臺灣資安公司戴夫寇爾研究員二度獲得資安屆奧斯卡獎Pwnie Awards最佳伺服器漏洞獎

東京奧運不停傳出臺灣選手獲獎消息之際，在全球資安漏洞研究領域，臺灣專家近期也受到矚目。因為，臺灣資安公司戴夫寇爾（Devcore）首席資安研究員Orange Tsai（蔡政達）再度獲得有資安界奧斯卡獎之稱「2021 Pwnie Awards」的「最佳伺服器漏洞」（Best Server-Side Bug）為臺灣資安圈爭光，相關獎項於臺灣時間8月5日上午8點公布。這也是蔡政達暨2019年以Pulse Secure的SSL VPN產品漏洞獲得年度最佳伺服器漏洞獎後，二度獲獎。

伺服器端漏洞有7個入圍，3個與郵件伺服器相關

黑帽大會（Blackhat）每年都會舉辦漏洞界奧斯卡獎的Pwnie Awards獎項，今年因為疫情關係，同樣也採線上頒獎形式，目的就是希望可以肯定資安研究員的研究。

今年，伺服器漏洞的提名有七個入圍漏洞，Orange Tsai在入圍名單公布後，也首度在個人臉書上表示，除了感謝他在今年三月，針對微軟伺服器Exchange漏洞（漏洞編號：CVE-2021-26855；CVE-2021-27065以及其他待揭露漏洞標號）獲得提名肯定外，他也認為，其他的入圍獎項的競爭對手，也都是現今各界需要關注的伺服器漏洞。

蔡政達表示，入圍的項目中，有兩個都與微軟印表機漏洞相關，一個是重複修了再修、修了再修的印表機後臺處理程序漏洞（漏洞編號：CVE-2021-1675）；另外一個同樣引發各界關注的漏洞就是，資安研究人員以為已經完成漏洞修補，便把攻擊代碼上傳GitHub後才發現，這其實是一個微軟還沒有修復的漏洞PrintNightmare（漏洞編號：CVE-2021-34527）。

他說，還有入圍的漏洞項目有像是基本HTTP協助層的HTTP.sys UAF 漏洞（漏洞編號：CVE-2021-31166）；或者是VMware ESXI SLP協議上的遠端程式碼執行漏洞（漏洞編號：CVE-2021-21974）。

除了微軟郵件伺服器外，同時入圍的還有其他兩個常見郵件伺服器的漏洞，一個是15年前發現的漏洞，當年因為無法被駭客利用所以就沒有修補相關漏洞，但到現在，卻因為硬碟和記憶體容量都變大，漏洞變好用、可以透過遠端程式碼執行（RCE）濫用的Qmail郵件伺服器漏洞（CVE-2005-1513），以及被連續發現漏洞的郵件伺服器Exim的21 Nails漏洞，漏洞編號多到無法全部一次列舉。

最佳伺服器端漏洞由微軟Exchange郵件伺服器漏洞獲得

Pwnie Awards得獎名單公布後，Orange Tsai以其花費半年時間研究的微軟Exchange郵件伺服器漏洞，打敗其他來自世界各地的六支隊伍獲獎，這也是他第二度獲得Pwnie Awards的肯定，成為唯一獲獎的臺灣資安團隊。

「當我們放眼全世界，站上國際舞台的時候，使命感就會油然而生，希望能驕傲的講出我們來自台灣。」Orange Tsai覺得很榮幸，過去半年來研究微軟Exchange郵件伺服器漏洞的成果，可以再次獲得Pwnie Awards評審團的青睞，並為臺灣留下一座獎盃。

他認為，對戴夫寇爾而言，駭客是終身職，未來也會持續找出更多世界級的漏洞，讓全世界看到臺灣的資安研究能量。