VMware不敗神話落幕 360安全聯(lián)隊10秒上演全球首破

　　11月10日，為期兩天的世界黑客大賽PwnFest在韓國首爾正式開賽。出征PwnFest的360安全聯(lián)隊由360Vulcan、360Marvel和360Alpha三支安全研究團隊組成。比賽首日上午，該賽事上難度最高的項目VMware workstation在10秒內(nèi)就被360安全聯(lián)隊一舉攻破。七年來都無人能撼動VMware的神話就此打破，360安全聯(lián)隊因此獲得15萬美元的高額獎金，并成為全球首個在公開賽事上破解VMware的團隊。

　　VMware虛擬化軟件不敗神話終被打破

　　隨著虛擬化平臺的廣泛應(yīng)用，關(guān)于其安全性的探討也絡(luò)繹不絕。但一直以來，黑客界都有著共識：對虛擬化平臺的逃逸和破解難度都堪比登天。

　　試想一下，想要破解虛擬化軟件，需要在虛擬機中執(zhí)行攻擊，并利用虛擬化軟件的漏洞，造成宿主機中的任意代碼執(zhí)行，這相當(dāng)于從虛擬世界直接攻擊現(xiàn)實世界，橫跨了一個平行世界，攻破虛擬化軟件也因此被黑客們認為是“頂級神技”。

　　正因如此，除了七年前流傳過一些關(guān)于VMware舊版本的破解傳說外，從未有人能在公開的場合撼動它。在今年的Pwn2Own黑客大賽上，主辦方ZDI也曾大手筆懸賞7.5萬美元，但仍沒有人能夠撼動VMware。

　　本次PwnFest大賽中，主辦方POC（Power of Community）不惜血本，以15萬美元的高價吸引頂尖黑客再度挑戰(zhàn)VMware。最終，360安全聯(lián)隊不負眾望，率先以3個0day漏洞組合攻破VMware，七年的不敗神話終于落幕。

　　報名四大高難項目沖擊“破解之王”

　　由360Vulcan、360Marvel、360Alpha組成的360安全聯(lián)隊，分別覆蓋了PC、手機、虛擬化三大平臺。本次比賽他們報名了四大項目，分別是微軟Edge、谷歌Pixel、Adobe Flash Player，以及剛剛破解成功的VMware workstation。作為此次比賽中報名賽事最多的團隊，如果拿下全部項目，360安全聯(lián)隊將有望披上Lord of Pwn（破解之王）的桂冠。

　　這三支團隊在各自的領(lǐng)域都實力不俗，更是各大知名賽事上的常客。以360Vulcan為例，參加知名黑客大賽Pwn2Own以來，就以“專門挑戰(zhàn)不可能的任務(wù)”而廣為人知。2015年成為亞洲首個攻破IE瀏覽器的團隊，2016年又聯(lián)合Alpha團隊挑戰(zhàn)最難項目Chrome，并成為唯一一支成功破解的戰(zhàn)隊。

　　能夠在世界黑客大賽上拿下最大的熱門項目，除了豐富的國際賽事參賽經(jīng)驗外，360安全聯(lián)隊背靠的國內(nèi)最大互聯(lián)網(wǎng)安全公司雄厚的技術(shù)實力才是其贏得冠軍的基本保障。迄今為止，360已經(jīng)協(xié)助各大廠商發(fā)現(xiàn)并修補漏洞500余個，在國內(nèi)各大安全廠商中遙遙領(lǐng)先，并獲譽“東方最強白帽子軍團”的稱號。

　　據(jù)了解，此次的PwnFest大賽中微軟、谷歌、蘋果、Adobe、VMware五大廠商將首次同臺，與主辦方一起擔(dān)任比賽的裁判，檢查和分享選手的攻擊技術(shù)，并從中發(fā)掘出未知的漏洞，從而及時修復(fù)自身的軟件產(chǎn)品，更好地保護全球用戶的安全。