GeekPwn2018:长亭科技成功挑战世界级难度虚拟机逃逸

栏目: 服务器 · 发布时间: 5年前

10月24日,以“人攻智能,洞见未来”为主题的GeekPwn2018国际安全极客大赛开幕,全球顶尖黑客团队再次集结上海,预演智能生活以及人工智能领域潜在的安全问题。在诸多挑战项目中,长亭科技安全研究员张焱宇成功挑战具有世界级难度的“虚拟机逃逸”项目,备受业界瞩目。据了解,这是全球范围内首次针对VMware ESXi虚拟机逃逸的公开演示。

在本次极棒上海站的舞台上,长亭科技安全研究员张焱宇利用VMware虚拟化平台的3个漏洞,从一台 Linux 虚拟机内部进行攻击,仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制,展示了私有云系统所存在的安全问题。此外,长亭科技安全研究员郑吉宏利用内存破坏,远程获取某主流NAS系统最高权限,双双挑战成功。长亭科技表示,两个项目的漏洞细节将会通过GeekPwn报告给厂商,并等待厂商进行修复。

GeekPwn2018:长亭科技成功挑战世界级难度虚拟机逃逸

GeekPwn2018:长亭科技成功挑战世界级难度虚拟机逃逸

该项目的评委之一、腾讯安全玄武实验室负责人于旸对项目难度水准表示了高度认可。因为本身虚拟机技术设计的目标就是把你隔在里面,就像一个牢笼,牢笼的目的是隔离,而我们要逃逸出来。对于这种比赛,真正攻击的时间是非常短的,但是从发现漏洞到进行分析到攻破是非常困难的。

“云时代”的虚拟机安全被提升到至关重要的位置。虚拟机逃逸是指从虚拟机内部发起攻击,利用虚拟化产品中的漏洞来获取虚拟机外部宿主机的权限。虚拟机逃逸攻击已经可以影响云上用户的根本安全,成为不得不应对的严峻威胁。自2016年Pwn2Own破解大赛增设虚拟机逃逸项目以来,国际知名虚拟化软件VMware吸引了全球众多安全研究人员的注意力。作为世界范围内为数不多的虚拟化漏洞的研究者,长亭科技持续输出研究成果。2017年初,长亭安全研究实验室对VMware workstation进了研究并发现高危漏洞,并完整还原了整个虚拟机逃逸的利用。此次长亭科技针对VMware ESXi虚拟机逃逸的公开演示在全球尚属首次。

据悉,长亭科技今年已是第三次参赛GeekPwn,历届出征战绩累累,为各大厂商发现了诸多高危漏洞并帮助其修复。2016年成功破解索尼PS4,获得极棒上海站第一名、三周年贡献奖;2016年一次破解10款路由器1款智能摄像头、获得极棒澳门站中国第一。2015年破解数款智能摄像头与路由器,获得极棒中国站一等奖。

作为国内网络安全行业迅速崛起的新锐企业,长亭科技高度关注网络安全存在的漏洞和风险,并专注于安全产品研发,以创新技术为企业多向提供简单高效、具有成熟商业化标准的安全解决方案。历经四年的发展,长亭科技已形成“攻、防、抓、查”四维一体的应用安全防护塔防体系,并获得 中国银行 ( 601988 , 诊股 )、 招商银行 ( 600036 , 诊股 )、 交通银行 ( 601328 , 诊股 )、安信证券、华为等大型金融与互联网企业的认可。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

移动风暴

移动风暴

[美]弗雷德·沃格尔斯坦 / 朱邦芊 / 中信出版社 / 2014-1-1 / 39

也许,除了伟大的乔布斯,每一位奋力改变世界的硅谷英雄,都值得我们肃然起敬。苹果与谷歌十年博弈,关于这场移动平台战争的报道早已铺天盖地,而这是第一次,我们能听到幕后工程师的真实声音。两大科技巨人用智能手机和平板电脑颠覆了电脑产业。它们位处变革的中心,凭借各自的经营哲学、魅力领袖和商业敏感度,把竞争变成了残酷对决。商业记者沃格尔斯坦报道这场对抗已逾十载,在《移动风暴》中,他带领我们来到一间间办公室和会......一起来看看 《移动风暴》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

随机密码生成器
随机密码生成器

多种字符组合密码

html转js在线工具
html转js在线工具

html转js在线工具