戴夫寇爾(DEVCORE)於上週舉辦的資安競賽——全球白帽駭客的最高殿堂Pwn2Own漏洞研究競賽中,為台灣奪下有史以來第一座冠軍獎盃,贏得駭客大師(Master of Pwn)的頭銜。
Pwn2Own競賽為Zero Day Initiative(ZDI)漏洞懸賞計畫所舉辦的年度盛事,年年邀請世界級頂尖白帽駭客共同挖掘各種大型企業的零時差漏洞,包含Apple、Google、Microsoft、VMware等國際企業皆共襄盛舉,被譽為「白帽駭客實力的最高殿堂」。
戴夫寇爾成為第一個獲得Pwn2Own冠軍台灣隊伍
戴夫寇爾是「攻擊型」的資安公司,比起傳統認知中為企業作防禦的資安公司,戴夫寇爾更專注在攻擊,替企業找出資安的漏洞,客戶涵蓋政府、金融、電商、半導體、醫療等產業。
在2020年底,戴夫寇爾發現並通報兩個Microsoft Exchange伺服器(微軟商業用電子郵件伺服器)漏洞,研究團隊於2021 Pwn2Own競賽中再次針對Microsoft Exchange伺服器深入鑽研,串聯兩個新挖掘的漏洞(包含「認證繞過漏洞」和「本地權限提升漏洞」)成為在Microsoft Exchange伺服器上無須驗證的遠端代碼執行(RCE)漏洞。
戴夫寇爾研究團隊為該組(Server Category)唯一得到完整分數的參賽團隊,且以單一參賽項目獲得20分滿分的積分,榮獲高達20萬美元(約為新台幣600萬元)的冠軍獎金,與其他2支參賽隊伍並列冠軍,成為首個獲得Pwn2Own冠軍殊榮的台灣隊伍。
此次領軍的戴夫寇爾首席資安研究員暨研究組組長蔡政達(Orange Tsai)表示,「很榮幸可以在Pwn2Own競賽中為台灣爭光,讓世界看見台灣資安研究的能量,也為完善全球資安體系盡一份力。展望未來,我們仍會秉持著對資安研究的最大熱忱,繼續為世界帶來一流的研究成果。」
而在2020年底發現Microsoft Exchange漏洞的戴夫寇爾,雖然在當時傳出案外案,有駭客利用戴夫寇爾通報的漏洞發動大量攻擊,其他資安業者也通報戴夫寇爾,懷疑駭客可能竊取其資料,微軟也為此展開調查,現仍未有後續。
戴夫寇爾已全面清查員工的電腦設備、公司內部系統以及基礎架構,確認系統或設備並沒有遭入侵,或是資料外洩的跡象。
由趨勢科技主導,國際大廠皆提供獎金的資安大賽
Pwn2Own競賽是由趨勢科技負責營運的Zero Day Initiative(ZDI)漏洞懸賞計畫所推出的漏洞研究競賽,為世界最著名、獎金最豐厚的駭客競賽,每年都會邀請全球頂尖資安研究人員白帽駭客,藉由挖掘各大國際企業不同軟體領域的零時差漏洞,取得不同產品和服務的主控權。
過去包含Apple、Google、Microsoft、VMware等國際企業皆共襄盛舉,開放參賽隊伍挖掘自家企業的漏洞,並給予獎金,其中電動車大廠特斯拉(Tesla)更祭出高達50萬美元(約合新台幣1,500萬元)的獎金,在2019年讓參賽者現場嘗試駭入Tesla Model 3。
受疫情影響,Pwn2Own自2020年起改為遠端進行,過去參賽團隊需飛至加拿大參賽,若程式碼嘗試失敗可於現場進行兩次調整;賽事調整為遠端進行後,參加隊伍需在比賽前將「完美的」攻擊程式碼交給ZDI,由其執行並判定結果,若程式碼沒寫好,無法進行二次調整,對參賽團隊來說是更大的挑戰。
而2021年為戴夫寇爾團隊第二次參賽,過去他們曾在2020年底的Pwn2Own分支競賽Pwn2Own Mobile中取得第二名的佳績。
責任編輯:錢玉紘
