Pwn2Own黑客大賽10周年版，獎金超過100萬美元，目標(biāo)范圍涵蓋虛擬機(jī)、服務(wù)器、企業(yè)應(yīng)用和Web瀏覽器。

過去十年，零日計劃(ZDI)年度Pwn2Own競賽，成為了信息安全日歷上開年重大活動之一，2017年也不例外。作為Pwn2Own競賽十周年紀(jì)念，如今由趨勢科技操辦的ZDI，將比之前任何一次都走得更遠(yuǎn)，目標(biāo)更多，獎金更高，只要成功執(zhí)行零日漏洞利用即可獲得不菲獎金。

2016年，HPE將其包含有ZDI的TippingPoint部門，以3億美元的價格，出售給了趨勢科技公司。該年的Pwn2own競賽是兩家公司聯(lián)合舉辦的。2016年為期2天的競賽中，成功證明了總共21個零日漏洞的研究人員，分享了46萬美元的獎金。

Pwn2own 2017 將與CanSecWest大會一起，于3月15-17日在加拿大溫哥華舉行。2017大賽將由趨勢科技獨(dú)立贊助，且與去年的大賽不同，不再專注于Web瀏覽器。

今年的目標(biāo)中出現(xiàn)了虛擬機(jī)，包括VMware和微軟Hyper-V系統(tǒng)。研究人員需要從客戶虛擬機(jī)執(zhí)行虛擬化管理程序逃逸，以在底層托管操作系統(tǒng)中運(yùn)行任意代碼。成功進(jìn)行虛擬機(jī)逃逸的安全研究員，將獲得ZDI提供的10萬美元獎勵。

趨勢科技漏洞研究高級經(jīng)理布萊恩·戈倫茨說：“我們每年都會考慮新目標(biāo)。”

Pwn2Own大賽之外，ZDI還是從研究人員那里搜羅安全漏洞的產(chǎn)業(yè)，通過其項目主動尋求虛擬機(jī)逃逸技術(shù)。

Pwn2Own有望提升研究人員的認(rèn)識，未來可能看到更多此類報告。但盡管虛擬機(jī)在本屆Pwn2Own目標(biāo)列表當(dāng)中，Docker容器卻沒有。

Linux

過去十年，Pwn2Own針對過基于蘋果macOS和微軟Windows的技術(shù)，但在2017年，開源Linux操作系統(tǒng)終于進(jìn)駐目標(biāo)列表。

在兩項獨(dú)立挑戰(zhàn)中，研究人員將特別針對 Ubuntu 16.10 Linux操作系統(tǒng)。一項是權(quán)限提升，另一項是服務(wù)器端Web托管利用。

只要能利用Linux內(nèi)核漏洞提升權(quán)限，研究人員便會得到1.5萬美元的獎勵。Windows上的提權(quán)獎勵為3萬美元，macOS提權(quán)獎勵則是2萬。

Ubunt系統(tǒng)可通過名為“AppArmor”的額外強(qiáng)制訪問控制安全層進(jìn)行保護(hù)，一些情況下可以限制本地用戶權(quán)限提升漏洞利用的風(fēng)險。2017年的Pwn2Own競賽中，ZDI并未設(shè)置任何AppArmor。

在服務(wù)器端，ZDI對 Ubuntu 16.10 上運(yùn)行的開源 Apache Web 服務(wù)器漏洞利用開出了20萬美元的獎勵。

Web瀏覽器

Web瀏覽器再次成為Pwn2Own主要目標(biāo)，微軟Edge瀏覽器或谷歌Chrome漏洞利用價值8萬美元。蘋果的Safari漏洞利用可獲5萬美元獎金。

2016的競賽中Mozilla的火狐瀏覽器未能入選，但今年的目標(biāo)列表中它強(qiáng)勢回歸。對火狐瀏覽器的成功漏洞利用可獲3萬美元獎勵。

Mozilla增強(qiáng)了其安全性，我們完全有理由將其重新包含到競賽中。

另外，2017 Pwn2Own 競賽將為每個 Adobe Reader、微軟 Office Word、Excel和PowerPoint的成功漏洞利用開出5萬美元獎金?？偑劷痤~度超過了以往任何一屆Pwn2Own大賽。

戈恩茨說：“最終獎金數(shù)額的大部分取決于我們設(shè)置的項目數(shù)量，肯定會超過100萬美元，是迄今為止的最大額度。”

歷經(jīng)十年，Pwn2Own黑客挑戰(zhàn)賽很可能繼續(xù)延續(xù)更多個年頭。

“雖然生活在完全安全的世界會很美好，但我們知道這是不現(xiàn)實(shí)的。Pwn2Own上產(chǎn)生了很多偉大的研究，也激發(fā)了很多有價值的研究——最終改善了我們每個人的安全。”