北京时间6月6日,AsiaSecWest国际安全技术峰会—亚洲站在中国香港开幕。本届峰会历时2天,吸引了来自美国、德国、中国等地的极客界“最强大脑“加盟,针对众多全球信息安全领域最具前瞻性、最具含金量的议题的进行了交流探讨,力图为全球安全技术提供交流共享、互通有无的新平台。
在本届AsiaSecWest中,中国的技术力量不容小觑。来自腾讯安全玄武实验室安全研究员宋凯和秦策,他们以“绕过所有系统缓解措施的Chakra漏洞和利用”为主题发表了演讲,提出了将浏览器内存安全漏洞转化为任意代码执行的新方法,从而借助AsiaSecWest的舞台向世界展现了中国网络安全的解决思维与技术实力。
(腾讯玄武实验室安全研究员宋凯和秦策)
腾讯玄武实验室高级研究员发表演讲 披露浏览器漏洞及利用问题
随着互联网,尤其是移动互联网的发展,浏览器及其安全问题受到了广泛关注。尽管浏览器厂商应用了诸多安全特性以防范浏览器漏洞,但并不能避免所有可能存在的入侵风险。对于许多厂商和消费者来说,潜在的漏洞利用很难被察觉,信息安全依然处于未被开放的“黑匣子”中。
为此,腾讯安全玄武实验室的两位安全研究员宋凯与秦策以Chakra(微软为网页浏览器开发的JavaScript引擎)的漏洞为研究样本,发表了名为“绕过所有系统缓解措施的Chakra漏洞和利用”的演讲。在演讲中,两位腾讯安全研究员对Chakra的一个漏洞进行了详细讲解,并针对漏洞利用技术介绍了可以绕过所有防护的新方法。这项发现意味着,虽然Windows已经引入了许多针对漏洞利用的缓解措施,但是通过该漏洞利用技术依然能够绕过安全防范入侵设备,在浏览器内执行任意代码,甚至与其他提权漏洞进一步结合,在目标设备上对漏洞实现完全利用。
早在2015年,腾讯安全玄武实验室负责人于旸就已经针对Chakra的漏洞利用进行了详细的介绍。此次AsiaSecWest,宋凯与秦策分别就Chakra的漏洞利用的技术及其缓解方案进行了进一步总结,并在此前研究成果的基础上进行改进,披露了能够绕过Windows修复方案的“所有系统缓解措施的漏洞”,从整体上将Chakra漏洞利用研究向前推进了一大步。
腾讯安全积极联合国际智慧 输出中国技术能力
全球顶级信息安全峰会CanSecWest是互联网安全领域的传统技术交流峰会,在全球互联网安全领域拥有较高影响力。对于全球范围内的信息安全研究员来说,能够在AsiaSecWest国际安全技术峰会—亚洲站上发表演讲意味着其研究成果不仅具有世界范围的影响力,同时还具有能够改进整个网络安全的前瞻性。两位腾讯安全研究员针对Chakra漏洞的发言表明,在安全领域,腾讯方面的力量正在崛起,他们利用自身资源优势,为互联网安全贡献了诸多技术力量与解决方案。
除技术问题本身外,全球网络空间安全威胁呈现新的变化:一些新型网络威胁正呈现全球蔓延的态势,物联网安全、网络黑产、互联网金融诈骗、数据隐私泄露等问题伴随着全球经济发展成为网络安全的新焦点。如何应对网络安全新形势,联合全球技术力量促进各方交流以尽可能维护网络信任度,是目前包括研究者、网络厂商、程序工程师,乃至于相关政府部门及企业在内的从业者必须面临的问题。
为应对这一难题,腾讯安全在推动技术进步的基础上,还积极组织并参与了此次AsiaSecWest峰会,在促进国际间的智慧交流的基础上,融合各方资源以打破中西方技术交流壁垒。除了众多前沿议题的分享,腾讯安全联合实验室玄武实验室负责人于旸还与CanSecWest创始人Dragos Ruiu提出了“极客1.0.1”的愿景,日后将与诸多国际顶尖技术平台或安全社区建立长期合作,为包括中国在内的全球信息安全技术人才构建一个展示前沿技术突破与应用的舞台。
腾讯安全作为中国互联网安全新生态的首倡者,始终坚持“开放、联合、共享”的理念,多维护航全球网络安全生态的构建与发展。通过此次与CanSecWest的合作,腾讯安全希望搭建起中西方安全技术交流的桥梁,致力推动中国成为国际信息安全技术风向标,在为中国网络安全生态建设注入全球化视野的同时,积极倡导中国乃至全球的信息安全新生态。