美国当地时间8月6日—11日,Black Hat USA 2022在拉斯维加斯重磅拉开帷幕。作为安全行业的知名大会,Black Hat USA每年都会向外界持续输送出最新的安全研究成果、创新技术等前沿资讯,是展现全球安全发展风向的最好窗口,被公认为“黑客界的奥斯卡”。
今年,360数字安全集团共有两大漏洞研究成果成功入选这场顶级安全技术盛会,来自360数字安全集团旗下漏洞研究院的高级安全研究员简容、Steven Seeley分别以《与浏览器对话的另一种方式:在网络层利用Chrome》、 《I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit》为题进行了深度分享,向世界展现出中国安全力量的蓬勃脉动。
数字技术的发展,让政府、企业的数字化转型已经是势在必行的趋势。然而,伴随业务模式的变化与业务数量的增加,安全风险也随之愈加多样化与复杂化。
其中,浏览器作为数字化办公的重要基础设施,其网络组件承担了资源加载这一关键而复杂的任务。它不仅负责提供高层JavaScript API实现,还需要管理每个底层套接字连接。在浏览器与远程服务器通信的过程中,服务器可以控制发送到浏览器的每个字节,这可能会导致浏览器解析输入时出现内存安全问题。
360漏洞研究院高级安全研究员简容则从这些由数据处理引起的安全问题切入,并在更高维度解析了浏览器在处理意料之外的网络响应过程中存在的一些特殊逻辑错误。
他在演讲中展示了在Chrome网络组件中发现的几个高危漏洞,以及利用这些漏洞远程控制渲染进程,并进一步逃逸Chrome沙箱的完整过程。这些漏洞在2021天府杯网络安全竞赛中被成功用于攻破Chrome浏览器,借此,360漏洞研究院在当年也成为“天府杯”唯一实现Chrome项目“二连胜”的战队。
此外,360漏洞研究院高级安全研究员Steven Seeley此次则针对政企办公环境下十分常用的身份和访问管理 (IAM) 解决方案,着重介绍在审计过程中所面临的挑战与解决思路。
他表示,身份和访问控制是敏感系统的看门人。由于IAM系统通常需要暴露在互联网上,作为受信任的组件来管理认证,同时也能访问到成百上千的用户和应用程序,因此一旦这个系统被攻破,那么安全防护将土崩瓦解,造成敏感信息泄露和进一步网络攻击的巨大风险。
自2014年起,360连续九年登上Black Hat全球黑帽大会的舞台,并多次在Black Hat USA中发表了关于操作系统端、Android设备端等一系列引领行业发展的漏洞利用思路。本届Black Hat USA 2022中,360数字安全集团旗下的漏洞研究院继续提交出极具研究价值的成果,让全球看到中国乃至亚洲安全力量的强势崛起。
面对不断加剧的高级威胁,360漏洞研究院还凭借着一次又一次震撼全球的安全实力,不仅成为微软MSRC、天府杯等国际奖项中屠榜的“常客”,还荣膺中国首个“The Pwnie Awards”史诗级成就奖和最佳提权漏洞奖,更是连续多年获谷歌官方漏洞奖励计划年报(VRP)公开致谢。
作为数字安全的领导者,360数字安全集团未来也将继续从政策、标准、检测、修复、应急响应等多方面积极推进,携手全球合作厂商,共同感知漏洞风险,看见安全威胁,并联合制定抵御高级攻击的防御方案,为推动数字安全的高质量发展做出更多贡献。