全球白帽駭客最高殿堂 臺灣資安團隊DEVCORE奪冠

全球白帽駭客最高殿堂Pwn2Own漏洞研究競賽於上週落幕,來自臺灣攻擊型資安公司DEVCORE(戴夫寇爾傳捷報,爲臺灣奪下有史以來第一座冠軍獎盃,贏得駭客大師(「Master of Pwn」)頭銜

Pwn2Own競賽爲Zero Day Initiative(ZDI漏洞懸賞計劃所舉辦的年度盛事,年年邀請世界級頂尖白帽駭客共同挖掘各種大型企業的零時差漏洞,被譽爲「白帽駭客實力的最高殿堂」。包含Apple、Google、Microsoft、VMware等國際企業皆共襄盛舉,其中電動車大廠Tesla更祭出高達50萬美元(約合新臺幣1,500萬元)的獎金,邀請大家共同挖掘其零時差漏洞。

疫情影響,Pwn2Own自去年起改爲遠端進行,過去參賽團隊需飛至加拿大參賽,若程式碼嘗試失敗可於現場進行兩次調整賽事調整爲遠端進行後,參加隊伍需在比賽前將「完美的」攻擊程式碼交給ZDI,由其執行並判定結果,若程式碼沒寫好,無法進行二次調整,對參賽團隊來說是更大的挑戰

DEVCORE是世界級攻擊型資安公司,去年底即領先全球發現並通報兩個Microsoft Exchange伺服器漏洞,研究團隊於2021 Pwn2Own競賽中再次針對Microsoft Exchange伺服器深入鑽研串聯兩個新挖掘的漏洞(包含「認證繞過漏洞」和「本地權限提升漏洞」)成爲在Microsoft Exchange伺服器上無須驗證的遠端代碼執行(RCE)漏洞。

DEVCORE研究團隊爲該組(Server Category)唯一得到完整分數的參賽團隊,且以單一參賽項目獲得20分滿分的積分,獲高達20萬美元(約合新臺幣600萬元)的冠軍獎金,成爲首個獲得Pwn2Own冠軍殊榮的臺灣隊伍。