全球白帽駭客最高殿堂 臺灣資安團隊DEVCORE奪冠

全球白帽駭客最高殿堂Pwn2Own漏洞研究競賽於上週落幕，來自臺灣的攻擊型資安公司DEVCORE（戴夫寇爾）傳捷報，爲臺灣奪下有史以來第一座冠軍獎盃，贏得駭客大師（「Master of Pwn」）頭銜。

Pwn2Own競賽爲Zero Day Initiative（ZDI漏洞懸賞計劃所舉辦的年度盛事，年年邀請世界級頂尖白帽駭客共同挖掘各種大型企業的零時差漏洞，被譽爲「白帽駭客實力的最高殿堂」。包含Apple、Google、Microsoft、VMware等國際企業皆共襄盛舉，其中電動車大廠Tesla更祭出高達50萬美元（約合新臺幣1,500萬元）的獎金，邀請大家共同挖掘其零時差漏洞。

受疫情影響，Pwn2Own自去年起改爲遠端進行，過去參賽團隊需飛至加拿大參賽，若程式碼嘗試失敗可於現場進行兩次調整；賽事調整爲遠端進行後，參加隊伍需在比賽前將「完美的」攻擊程式碼交給ZDI，由其執行並判定結果，若程式碼沒寫好，無法進行二次調整，對參賽團隊來說是更大的挑戰。

DEVCORE是世界級攻擊型資安公司，去年底即領先全球發現並通報兩個Microsoft Exchange伺服器漏洞，研究團隊於2021 Pwn2Own競賽中再次針對Microsoft Exchange伺服器深入鑽研，串聯兩個新挖掘的漏洞（包含「認證繞過漏洞」和「本地權限提升漏洞」）成爲在Microsoft Exchange伺服器上無須驗證的遠端代碼執行（RCE）漏洞。

DEVCORE研究團隊爲該組（Server Category）唯一得到完整分數的參賽團隊，且以單一參賽項目獲得20分滿分的積分，獲高達20萬美元（約合新臺幣600萬元）的冠軍獎金，成爲首個獲得Pwn2Own冠軍殊榮的臺灣隊伍。