360驚呆外媒：絕妙漏洞利用完成Pwn2Own史上最難破解

在最近落幕的Pwn2Own世界黑客大賽上，360安全戰隊在前兩日賽程中完美實現對Adobe Reader、Adobe Flash、MacOS、Safari以及微軟Windows10五大項目的破解。比賽進入最後一天，360安全戰隊挑戰「史上最高難度」的連環破解項目，遠程攻破Edge拿下Win10系統許可權，並突破VMware虛擬機成功逃逸，創下Pwn2Own單項積分27分的最高記錄，這一項目也讓他們一舉贏得官方頒發的「Master of Pwn」世界破解大師總冠軍獎盃。

連環使用Edge瀏覽器、Win10內核以及VMware虛擬化軟體的三枚漏洞，在63秒的時間內，360就完成了「看似不可能的任務」。這一破解立刻引起了國外知名科技媒體ARS的注意，第一時間發布報道盛讚360精巧的漏洞組合打造了完美的攻擊鏈，並認為通過360的高難度破解，為國際安全界敲響了警鐘，沒有任何產品或防護手段是絕對安全的，360的破解能夠推動廠商完善安全性，給用戶帶來更安全的產品體驗。

報道鏈接：

以下為ARS的報道全文：

Pwn2Own黑客大賽：虛擬機逃逸獲得10500美元獎金——通過三個獨立漏洞的巧妙利用

在今年加拿大溫哥華的Pwn2Own世界黑客大賽上，來自360安全戰隊的參賽選手完成了一項令人印象極其深刻的戰績：他們完成了虛擬化軟體VMware Workstation的逃逸，並攻破了微軟防禦工事森嚴的Edge瀏覽器。這次破解給他們帶來了10.5萬美元的獎勵，這是Pwn2Own連續三天賽程上的最高獎勵。

根據Pwn2Own賽事主辦方在周五早上(加拿大當地時間)發布的Tweet顯示，來自360安全戰隊的成員運用了Edge的堆溢出漏洞、微軟內核的一種混亂缺陷、VMware的緩衝區漏洞，成功完成了「完整的虛擬機逃逸過程」。

「我們使用了微軟Edge瀏覽器內部的JavaScript引擎漏洞實現了在Edge沙箱內的任意代碼執行，同時我們使用了Win10內核的漏洞，逃離了沙箱並完全控制了虛擬機。」360安全戰隊負責人鄭文彬在郵件中寫道。「之後我們利用了VMware的硬體模擬漏洞實現了從控制虛擬機的系統許可權到控制宿主機的系統許可權。這所有的攻擊只要一個網頁就能完成。」

虛擬機對於保護個人和大型機構的信息安全來說至關重要。在伺服器的宿主機環境中，虛擬機作為一個容器，可以防止客戶的數據和操作系統被其他共享同一物理伺服器的客戶所訪問。比如，在周五被攻破的虛擬機VMware Workstation也同樣應用於桌面電腦中，以隔離不受信任的內容訪問。一旦虛擬機的操作系統被瀏覽服務漏洞或相似的攻擊所控制，黑客也無法獲得宿主機中的數據或宿主機的操作系統許可權。

對於廣泛使用的虛擬機來說，任何能夠實現逃逸的攻擊都被業界廣泛關注。上述周五發生在Pwn2Own賽場的虛擬機攻擊之所以令人印象格外深刻，是因為它利用了Edge的漏洞，而Edge則被安全圈普遍認為是最難以攻破的瀏覽器之一。通常情況下，這樣的遠程代碼執行攻擊需要同時利用兩個或兩個以上的漏洞才能實現，這也就是為什麼360安全戰隊會同時使用堆溢出漏洞和Windows內核漏洞結合進行攻擊的原因。上述描述建立了這樣的攻擊場景，一個惡意的網站不僅能夠控制虛擬機，更具價值的是這一攻擊還能夠控制VMware運行的宿主機。在去年的Pwn2Own是賽場上，沒有一名選手試圖破解VMware，這也表明有效的虛擬機攻擊手段，其價值遠遠不止當時提供的7.5萬美元獎金。

周五的破解凸顯了Pwn2Own的中心主題，那就是沒有操作系統或應用程序能夠完全對黑客免疫而徹底安全。

「實際上，虛擬機管理程序就是另一個存在漏洞，且可以被攻破的軟體隔離層。」Capsule8的聯合創始人兼首席技術官Dino Dai Zovi告訴記者，Capsule8是為現代網路基礎設施提供實時威脅防護的公司。「隔離層比如沙箱、虛擬化、封裝等都讓黑客的攻擊難度增加，但是沒有一個隔離層是完美的。作為防禦者來說，應該始終保持這樣的態度，那就是所有的防禦措施都可以通過攻擊者的足夠努力而被攻破。」

Dai Zovi在10年前第一屆Pwn2Own黑客大賽舉辦時，曾經拿下1萬美元的獎金，他當時完全控制了MacBook Pro。

VMware虛擬機逃逸在加拿大溫哥華Pwn2Own世界黑客大賽的第三天也就是最後一天上演。Pwn2Own是由趨勢科技的ZDI項目組主辦的。比賽通過對破解成功者進行現金獎勵的方式，大致複製了一個真實世界的0day漏洞市場。在比賽中電腦運行的都是最新的、打了完整補丁的操作系統，而比賽項目則都是針對主流的操作系統和應用程序。今年的比賽在第一天共發放獎金23.3萬美元，第二天共發放獎金34萬美元。更多比賽中使用的破解手段請參見ZDI官網，賽事主辦方和參賽者通常會對漏洞細節保密，直到該漏洞已經完全打好補丁。