“中國風”即將席卷BlackHat USA,360兩大安全成果入選
責編:gltian |2022-05-30 14:56:28全球著名網絡安全峰會BlackHat USA 2022將于今年八月拉開帷幕,在近日公布的演講陣容中,360政企安全集團共有兩大漏洞研究成果成功入選。這也是繼不久前在BlackHat Aisa發布兩大重磅議題后,360安全專家團隊代表中國安全力量,又一次強勢亮相世界舞臺。
作為世界網絡安全行業的盛會,世界黑帽峰會(BlackHat)至今已有24年歷史,每年其都會在美國、歐洲、亞洲分別舉行一次大會,其中BlackHat USA最具規模和權威性,是了解全球最新安全研究成果及安全威脅最好的窗口。對安全技術研究人員來說,能夠登上BlackHat USA向世界分享自己的研究成果,象征著安全圈的最高榮譽。
此次,來自360漏洞研究院的安全專家將受邀參加大會,并基于《I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit》和《與瀏覽器的”交流”的另一種方式:從網絡棧出發攻擊Chrome》兩大主題演講,與數萬名安全決策者共探數字安全建設的發展之路。
議題一:I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit
演講人:360漏洞研究院高級安全研究員Steven Seeley
作為本議題的主講人,Steven Seeley聚焦0day漏洞攻擊性的研究,專注于影響云環境的Web應用程序安全,在影響Adobe、Microsoft、Oracle、VMWare、Apple、Cisco和HPE等供應商的軟件中發現了千余個高危漏洞。
本次,他將針對在政企辦公環境下十分常用的身份和訪問管理 (IAM) 解決方案,通過一些基本用例和在野攻擊造成的影響,著重介紹在審計過程中所面臨的安全挑戰與解決思路,其中不乏類似繞過嚴格的出站網絡訪問等最新攻擊方式。同時,他將現場演示他編寫的利用代碼,以揭示這些類型的攻擊可能對依賴 IAM 解決方案的組織產生的高度危害。
議題二:與瀏覽器的”交流”的另一種方式:從網絡棧出發攻擊Chrome
演講人:360漏洞研究院安全研究員簡容
本次360漏洞研究院的另一議題是由安全研究員簡容發布,他多年來一直將瀏覽器安全作為研究重點,并接連在2020年、2021年的天府杯國際網絡安全大賽Chrome類別中屢獲佳績。尤其在2020年,身為360參賽安全團隊的重要一員,其參與攻破Chrome瀏覽器渲染進程和沙箱逃逸,完成遠程控制計算機的攻擊展示,這也是自2015年以來Chrome在國際比賽中被首次完全攻克。
在本次議題中,簡容將聚焦數字化辦公的重要基礎設施——瀏覽器,分享他在Chrome瀏覽器的網絡棧中發現的數個安全漏洞,并通過這些漏洞實現穩定的遠程利用鏈。與常規攻擊JavaScript引擎和瀏覽器主進程的思路不同,攻擊網絡棧需要精確結合服務器端對瀏覽器的網絡響應行為,從而觸發網絡棧中的邏輯問題,這將有力推動數字化辦公安全研究上升到一個新的里程碑高度。
從360漏洞研究院在本屆BlackHat USA中即將發表的兩個議題可以看出,面對全球數字化轉型戰略的深入推進,360政企安全集團基于17余年來實戰攻防經驗的積累,不僅打造出東半球最大的安全專家團隊,并憑借在數字安全建設方面的持續研發投入,取得了顯著的成績。
在此其中,憑借多年對漏洞利用技術手段的深耕,360政企安全集團自2014年起,便多次在BlackHat USA中發表了關于操作系統端、Android設備端等一系列引領行業發展的漏洞利用思路。就在前不久開啟的BlackHat Asia 2022(亞洲黑帽峰會)中,360政企安全集團同樣發表了主題為《USMA:用戶態映射攻擊》和《下一代Windows漏洞利用:攻擊通用日志文件系統》的兩大演講,引發了全行業的高度關注。
同時,面對不斷加劇的高級威脅,其還憑借著一次又一次震撼全球的安全實力,不僅成為微軟MSRC、天府杯等國際獎項中屠榜的“常客”,還榮膺中國首個“The Pwnie Awards”史詩級成就獎和最佳提權漏洞獎,更是連續多年獲谷歌官方漏洞獎勵計劃年報(VRP)公開致謝,讓全球看到中國乃至亞洲安全力量的強勢崛起。
未來,360政企安全集團將持續在“以攻促防”的實戰思維引導下,推動數字安全建設的高質量發展,助力廣大政企用戶整體提升應對數字時代高級威脅的安全能力,為數字中國戰略的深入落地不斷貢獻力量!