全球知名计算机系统Windows,活跃设备超10亿,5秒被攻破。
某大用户量办公软件,月活用户超5亿,1秒遭破解,且漏洞稳定性为100%。
……
11月1日,为期两天的2023「天府杯」国际网络安全大赛在四川成都落下帷幕。本届大赛在清华大学网络科学与网络空间研究院、国家工业信息安全发展研究中心、北京中关村实验室等国内各大头部研究机构及一线网络安全企业、互联网企业的助阵下,致力于打造全球范围内水平最高、奖金最多、规模最大的顶级网络安全赛事,吸引二十余支队伍、超百位技术白帽齐聚,展开了一场酣畅淋漓的网络安全大战。
巅峰对决中,来自深信服Deepin Lab(深益研究实验室)的k team 披荆斩棘,仅用时5秒攻破Windows 11系统,1秒攻破某大用户量办公软件。大赛设1、2、3 等奖各一名,深信服k team 最终以总分第三的成绩荣获三等奖。
深信服 k team参与「天府杯」2023国际网络安全大赛
千万级丰厚奖金、最新0day漏洞揭晓、包罗万象技术难题……历经5届,「天府杯」国际网络安全大赛近年不断提升赛事规格。由于比赛质量、项目难度均属于国际顶级水平,大赛也成为国内外众多安全从业人员展现技术硬实力的关键赛场。大赛中多个破解的目标设备或系统均有着数以亿计的用户,经受了内部大量的安全测试,以及外部海量安全人员与黑客的攻击检验。
在比赛漏洞使用上,组委会要求无论一个参赛者参与多少目标赛项,一个漏洞只能使用一次,且漏洞必须是0day。同时,每位参赛者有3次漏洞利用机会;每次尝试必须在5分钟内完成;不得使用已公开漏洞等等。
赛事拉开序幕之后,多个以破解难度大、安全系数高著称的设备与应用迅速得到破解。
2021年,深信服首次参与「天府杯」,曾于数秒内攻克Windows 10,成功接管操作系统。而本次比赛上,天府杯将攻击目标替换成了最新发布的Windows 11。相较于Windows 10,Windows 11有更多的漏洞防护措施,更加难以攻破,堪称「固守金汤」。深信服k team使用0day漏洞将其攻破,获取操作系统最高权限,完全接管受害主机,该过程仅用时5秒!
据悉,这也是Windows 11自发布以来首次在国内公开赛事中被攻破。
此外,在某大用户量办公软件项目上,深信服k team 使用了另一个0day漏洞,仅用1秒迅速突破保护,最终成功接管软件。这轮破解不仅耗时最短,而且漏洞利用的稳定性为100%。
作为安全研究的先锋,深信服技术团队具备优异的研究能力,并连续五年被权威媒体评为“年度杰出安全实验室”。今年,深信服技术团队——
在“MSRC 2023全球Top 100最具价值研究者”榜单中,深信服安全研究员wh1tc & Zhiniang Peng在“Windows操作系统领域最具价值安全研究员榜单”中登榜第三,在“2023全球Top 100最具价值研究员”登榜第七。其中,安全研究员Zhiniang Peng连续四个年度跻身年度总榜前十。(点击此处查看详情)
同时,今年深信服安全研究团队的一篇论文《Detecting Union Type Confusion in Component Object Model.》更是成功入选了USENIX Security 23——信息安全领域四大顶级学术会议之一。(点击此处查看详情)
深信服一直注重网络安全攻防技术研究,利用攻击方视角解决网络安全问题,并将安全研究技术应用到产品实践中。基于千里目安全技术中心多年的技术积累,深信服在国内率先推出了多个前沿安全产品及服务,并在今年首秀自研的安全大模型——安全GPT的技术应用。截至目前,深信服安全产品及服务已在广大大型企业和机构中应用,覆盖了政府、金融、能源、运营商、医疗、教育、互联网等行业领域,帮助用户构建自身完善的安全体系,致力于让所有用户安全领先一步。
未来,深信服将不断提高专业技术造诣,加大对安全研究人才和技术研究层面的投入,深度洞察网络安全威胁,持续为用户网络安全赋能。