中国安全力量崛起!360两大安全成果入选BlackHat USA
2022-05-30
全球著名网络安全峰会BlackHat USA 2022将于今年八月拉开帷幕,在近日公布的演讲阵容中,360政企安全集团共有两大漏洞研究成果成功入选。这也是继不久前在BlackHat Aisa发布两大重磅议题后,360安全专家团队代表中国安全力量,又一次强势亮相世界舞台。
作为世界网络安全行业的盛会,世界黑帽峰会(BlackHat)至今已有24年历史,每年其都会在美国、欧洲、亚洲分别举行一次大会,其中BlackHat USA最具规模和权威性,是了解全球最新安全研究成果及安全威胁最好的窗口。对安全技术研究人员来说,能够登上BlackHat USA向世界分享自己的研究成果,象征着安全圈的最高荣誉。
此次,来自360漏洞研究院的安全专家将受邀参加大会,并基于《I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit》和《与浏览器的"交流"的另一种方式:从网络栈出发攻击Chrome》两大主题演讲,与数万名安全决策者共探数字安全建设的发展之路。
议题一:
I Am Whoever I Say I Am:
Infiltrating Identity Providers Using a 0Click Exploit
演讲人:
360漏洞研究院高级安全研究员Steven Seeley
作为本议题的主讲人,Steven Seeley聚焦0day漏洞攻击性的研究,专注于影响云环境的Web应用程序安全,在影响Adobe、Microsoft、Oracle、VMWare、Apple、Cisco和HPE等供应商的软件中发现了千余个高危漏洞。
本次,他将针对在政企办公环境下十分常用的身份和访问管理 (IAM) 解决方案,通过一些基本用例和在野攻击造成的影响,着重介绍在审计过程中所面临的安全挑战与解决思路,其中不乏类似绕过严格的出站网络访问等最新攻击方式。同时,他将现场演示他编写的利用代码,以揭示这些类型的攻击可能对依赖 IAM 解决方案的组织产生的高度危害。
议题二:
与浏览器的"交流"的另一种方式:
从网络栈出发攻击Chrome
演讲人:
360漏洞研究院安全研究员简容
本次360漏洞研究院的另一议题是由安全研究员简容发布,他多年来一直将浏览器安全作为研究重点,并接连在2020年、2021年的天府杯国际网络安全大赛Chrome类别中屡获佳绩。尤其在2020年,身为360参赛安全团队的重要一员,其参与攻破Chrome浏览器渲染进程和沙箱逃逸,完成远程控制计算机的攻击展示,这也是自2015年以来Chrome在国际比赛中被首次完全攻克。
在本次议题中,简容将聚焦数字化办公的重要基础设施——浏览器,分享他在Chrome浏览器的网络栈中发现的数个安全漏洞,并通过这些漏洞实现稳定的远程利用链。与常规攻击JavaScript引擎和浏览器主进程的思路不同,攻击网络栈需要精确结合服务器端对浏览器的网络响应行为,从而触发网络栈中的逻辑问题,这将有力推动数字化办公安全研究上升到一个新的里程碑高度。
从360漏洞研究院在本届BlackHat USA中即将发表的两个议题可以看出,面对全球数字化转型战略的深入推进,360政企安全集团基于17余年来实战攻防经验的积累,不仅打造出东半球最大的安全专家团队,并凭借在数字安全建设方面的持续研发投入,取得了显著的成绩。
在此其中,凭借多年对漏洞利用技术手段的深耕,360政企安全集团自2014年起,便多次在BlackHat USA中发表了关于操作系统端、Android设备端等一系列引领行业发展的漏洞利用思路。就在前不久开启的BlackHat Asia 2022(亚洲黑帽峰会)中,360政企安全集团同样发表了主题为《USMA:用户态映射攻击》和《下一代Windows漏洞利用:攻击通用日志文件系统》的两大演讲,引发了全行业的高度关注。
同时,面对不断加剧的高级威胁,其还凭借着一次又一次震撼全球的安全实力,不仅成为微软MSRC、天府杯等国际奖项中屠榜的“常客”,还荣膺中国首个“The Pwnie Awards”史诗级成就奖和最佳提权漏洞奖,更是连续多年获谷歌官方漏洞奖励计划年报(VRP)公开致谢,让全球看到中国乃至亚洲安全力量的强势崛起。
未来,360政企安全集团将持续在“以攻促防”的实战思维引导下,推动数字安全建设的高质量发展,助力广大政企用户整体提升应对数字时代高级威胁的安全能力,为数字中国战略的深入落地不断贡献力量!