全球白帽骇客最高殿堂 台湾资安团队DEVCORE夺冠

全球白帽骇客最高殿堂Pwn2Own漏洞研究竞赛于上周落幕，来自台湾的攻击型资安公司DEVCORE（戴夫寇尔）传捷报，为台湾夺下有史以来第一座冠军奖杯，赢得骇客大师（「Master of Pwn」）头衔。

Pwn2Own竞赛为Zero Day Initiative（ZDI漏洞悬赏计划所举办的年度盛事，年年邀请世界级顶尖白帽骇客共同挖掘各种大型企业的零时差漏洞，被誉为「白帽骇客实力的最高殿堂」。包含Apple、Google、Microsoft、VMware等国际企业皆共襄盛举，其中电动车大厂Tesla更祭出高达50万美元（约合新台币1,500万元）的奖金，邀请大家共同挖掘其零时差漏洞。

受疫情影响，Pwn2Own自去年起改为远端进行，过去参赛团队需飞至加拿大参赛，若程式码尝试失败可于现场进行两次调整；赛事调整为远端进行后，参加队伍需在比赛前将「完美的」攻击程式码交给ZDI，由其执行并判定结果，若程式码没写好，无法进行二次调整，对参赛团队来说是更大的挑战。

DEVCORE是世界级攻击型资安公司，去年底即领先全球发现并通报两个Microsoft Exchange伺服器漏洞，研究团队于2021 Pwn2Own竞赛中再次针对Microsoft Exchange伺服器深入钻研，串联两个新挖掘的漏洞（包含「认证绕过漏洞」和「本地权限提升漏洞」）成为在Microsoft Exchange伺服器上无须验证的远端代码执行（RCE）漏洞。

DEVCORE研究团队为该组（Server Category）唯一得到完整分数的参赛团队，且以单一参赛项目获得20分满分的积分，获高达20万美元（约合新台币600万元）的冠军奖金，成为首个获得Pwn2Own冠军殊荣的台湾队伍。