【記者羅林/竹科報導】
全球白帽駭客最高殿堂 Pwn2Own 漏洞研究競賽於上周落幕,來自台灣的攻擊型資安公司 DEVCORE(戴夫寇爾)傳捷報,為台灣奪下有史以來第一座冠軍獎盃,贏得駭客大師(「Master of Pwn」)頭銜!Pwn2Own 競賽為 Zero Day Initiative(ZDI)漏洞懸賞計畫所舉辦的年度盛事,年年邀請世界級頂尖白帽駭客共同挖掘各種大型企業的零時差漏洞,被譽為「白帽駭客實力的最高殿堂」。
DEVCORE 是世界級攻擊型資安公司,早在 2020 年底即領先全球發現並通報兩個 Microsoft Exchange 伺服器漏洞,研究團隊於 2021 Pwn2Own 競賽中再次針對 Microsoft Exchange 伺服器深入鑽研,串聯兩個新挖掘的漏洞(包含「認證繞過漏洞」和「本地權限提升漏洞」)成為在 Microsoft Exchange 伺服器上無須驗證的遠端代碼執行(RCE)漏洞。DEVCORE 研究團隊為該組(Server Category)唯一得到完整分數的參賽團隊,且以單一參賽項目獲得 20 分滿分的積分,榮獲高達 20 萬美元(約合新台幣 600 萬元)的冠軍獎金,成為首個獲得 Pwn2Own 冠軍殊榮的台灣隊伍。
此次領軍的 DEVCORE 首席資安研究員暨研究組組長蔡政達(Orange Tsai)表示,「很榮幸可以在 Pwn2Own 競賽中為台灣爭光,讓世界看見台灣資安研究的能量,也為完善全球資安體系盡一份力。展望未來,我們仍會秉持著對資安研究的最大熱忱,繼續為世界帶來一流的研究成果。」
█疫情影響競賽難度加劇!DEVCORE 再次挖掘 Microsoft Exchange 伺服器漏洞奪冠
Pwn2Own 是國際級白帽駭客的聖殿,包含 Apple、Google、Microsoft、VMware 等國際企業皆共襄盛舉,其中電動車大廠 Tesla 更祭出高達 50 萬美元(約合新台幣 1,500 萬元)的獎金,邀請大家共同挖掘其零時差漏洞。
受疫情影響, Pwn2Own 自 2020 年起改為遠端進行,過去參賽團隊需飛至加拿大參賽,若程式碼嘗試失敗可於現場進行兩次調整;賽事調整為遠端進行後,參加隊伍需在比賽前將「完美的」攻擊程式碼交給 ZDI,由其執行並判定結果,若程式碼沒寫好,無法進行二次調整,對參賽團隊來說是更大的挑戰。而 2021 年為 DEVCORE 團隊第二次參賽,過去他們曾在 2020 年底的 Pwn2Own 分支競賽 Pwn2Own Mobile 中取得第二名的佳績。
DEVCORE 團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,共同維繫全球資訊安全,堅持透過最強的攻擊能量,協助企業建構強韌的防禦體系。DEVCORE 是第一個在台灣推出「紅隊演練」(Red Team Assessment)主動式資安檢測服務的公司,客戶涵蓋政府、金融、電商、半導體、醫療等產業,在企業同意、不影響企業營運的前提下,對企業進行模擬入侵攻擊,在有限的時間內從各種進入點執行攻擊,嘗試達成企業指定的測試任務,自 2017 推出紅隊演練服務至今,創造 100% 取得內網存取權限的紀錄,持續獲得客戶的高度青睞。