全球頂尖駭客雲集 黑帽大會Black Hat USA登場

網路戰的烽火在全球持續升溫,成世界資安領域熱議焦點。全球資安最高殿堂— Black Hat USA(美國黑帽大會) 盛大登場,攻擊型資安公司DEVCORE(戴夫寇爾)昨(11)日再次受邀出席,連續五年登上 Black Hat USA 舞台,向全球揭露世界級研究漏洞成果!

網路戰的烽火在全球持續升溫,成世界資安領域熱議焦點。全球資安最高殿堂— Black Hat USA(美國黑帽大會) 盛大登場,攻擊型資安公司DEVCORE(戴夫寇爾)昨(11)日再次受邀出席,連續五年登上 Black Hat USA 舞台,向全球揭露世界級研究漏洞成果!DEVCORE首席研究員蔡政達(Orange Tsai)在大會中首度公開對 Microsoft 網際網路資訊服務(IIS)的最新漏洞研究,以嶄新角度檢視全球大多數企業正在使用的Windows Server內建IIS的安全性。

現身美國黑帽大會DEVCORE向全球一展台灣資安研究能量

隨著網路環境日益複雜、駭客技術不斷更迭創新,越趨嚴峻的外在形勢也使資安成為企業須正視的營運風險。資安界頂尖殿堂— Black Hat黑帽大會齊聚全球頂尖駭客,相互交流前沿技術與資訊,更是企業界認識潛在攻擊趨勢的主要渠道之一,吸引全球業界的引領企盼。

DEVCORE團隊由世界級白帽駭客組成,長期深入研究攻擊技術及戰略,鑽研各類型攻擊手法,其首席研究員蔡政達(Orange Tsai)今年第五度同時錄取Black Hat USA和DEFCON駭客年會,向世界各地展現台灣在資安領域的這股能量。

兩大層面深度分析Microsoft IIS三漏洞 獲微軟肯定

IIS是微軟所提供,基於運行Microsoft Windows作業系統的的網際網路基本服務,是管理各種電腦網路服務的整合介面,全球絕大多數使用Windows系統的企業,皆會選擇使用Windows Server 內建的IIS。蔡政達在Black Hat USA 2022大會上,發表並現場展示DEVCORE研究團隊如何花費數月時間,藉逆向工程了解 IIS 核心機制及內部架構,並揭露三種攻擊類型。

起因是蔡政達注意到 IIS 中用來查詢在記憶體儲存位置的資料結構Hash Table(雜湊表,也稱哈希表), 恐潛藏巨大的的安全性議題,研究團隊故從實作面、使用面在重新檢視微軟設計的Hash Table的實作和Hash Table演算法使用的過程,進而挖掘出Microsoft IIS的三個漏洞,包含:

  • CVE-2022-22040:微軟的Hash Table實作問題,導致攻擊者可以將20年前猖獗的攻擊手法Hash Flooding Attack重現在IIS上,造成一台預設安裝的IIS因負荷滿載(overloading)而無法回應任何請求。
  • CVE-2022-22025:由於微軟的Hash Table使用邏輯不一致,導致Cache Poisoning攻擊可以實現在IIS上,這將使攻擊者汙染IIS回傳給其他使用者的HTTP回應。
  • CVE-2022-30209:微軟的Hash Table使用邏輯錯誤,讓攻擊者可以繞過IIS上的權限認證(Authentication Bypass)。此漏洞若經有心人士運用在Exchange Server上,攻擊者將能藉精心設計的密碼登入特定使用者信箱。

針對Microsoft IIS上的三個漏洞,研究團隊秉持高道德標準,遵守漏洞揭露程序、主動通報原廠後並獲得微軟官方致謝。其中CVE-2022-22040 此一漏洞甚至獲得微軟提供的三萬美元漏洞獎勵,直達過往微軟曾經提供給阻斷服務攻擊(DoS,denial of service)的最高獎金!

主動式資安協防台企業  下一步瞄準資安人才搖籃

DEVCORE 技術團隊具備深厚研究能量,也屢次在Pwn2Own、Pwnie Awards、 Pwn2Own Austin等競賽中擊敗其他隊伍,為台灣奪下佳績。此外,DEVCORE更憑藉著長期積累的漏洞研究能力,於2017年成為全台第一間推出「紅隊演練」(Red Team Assessment)主動式資安檢測服務的公司,獲政府、金融、電商、半導體、醫療等產業內重量級組織的信賴。放眼未來,DEVCORE將持續透過主動式資安服務協防台灣企業的資安防護,也將招募並培育潛力新秀、與人才一同成長,為台灣累積更多資安能量與競爭力,共同維繫全球資訊安全,堅持透過最強的攻擊能量,協助企業建構強韌的防禦體系。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416