網路戰的烽火在全球持續升溫,成世界資安領域熱議焦點。全球資安最高殿堂Black Hat USA(美國黑帽大會)盛大登場,DEVCORE(戴夫寇爾)再次受邀出席,向全球揭露世界級研究漏洞成果!DEVCORE首席研究員蔡政達(Orange Tsai)首度公開對Microsoft網際網路資訊服務(Internet Information Services;IIS)的最新漏洞研究,以嶄新角度檢視全球大多數企業正在使用的Windows Server內建IIS的安全性。
隨著網路環境日益複雜、駭客技術不斷更迭創新,越趨嚴峻的外在形勢也使資安成為企業須正視的營運風險。Black Hat黑帽大會齊聚全球頂尖駭客,相互交流前沿技術與資訊,更是企業界認識潛在攻擊趨勢的主要渠道之一,吸引全球業界的引領企盼。
DEVCORE團隊由世界級白帽駭客組成,長期深入研究攻擊技術及戰略,鑽研各類型攻擊手法,其首席研究員蔡政達2022年第五度同時錄取Black Hat USA和DEFCON駭客年會,向世界各地展現台灣在資安領域的這股能量。
兩大層面深度分析Microsoft IIS三漏洞,獲微軟肯定
IIS是微軟所提供,基於運行Microsoft Windows作業系統的的網際網路基本服務,是管理各種電腦網路服務的整合介面,全球絕大多數使用Windows系統的企業,皆會選擇使用Windows Server內建的IIS。蔡政達在Black Hat USA 2022大會上,發表並現場展示DEVCORE研究團隊如何花費數月時間,藉逆向工程了解IIS核心機制及內部架構,並揭露三種攻擊類型。
起因是蔡政達注意到IIS中用來查詢在記憶體儲存位置的資料結構Hash Table(雜湊表,也稱哈希表),恐潛藏巨大的的安全性議題,研究團隊故從實作面、使用面在重新檢視微軟設計的Hash Table的實作和Hash Table演算法使用的過程,進而挖掘出Microsoft IIS的三個漏洞,包含:
- CVE-2022-22040:微軟的Hash Table實作問題,導致攻擊者可以將20年前猖獗的攻擊手法Hash Flooding Attack重現在IIS上,造成一台預設安裝的IIS因負荷滿載(overloading)而無法回應任何請求。
- CVE-2022-22025:由於微軟的Hash Table使用邏輯不一致,導致Cache Poisoning 攻擊可以實現在IIS上,這將使攻擊者汙染IIS回傳給其他使用者的HTTP回應。
- CVE-2022-30209:微軟的Hash Table使用邏輯錯誤,讓攻擊者可以繞過IIS上的權限認證(Authentication Bypass)。此漏洞若經有心人士運用在Exchange Server上,攻擊者將能藉精心設計的密碼登入特定使用者信箱。
針對Microsoft IIS上的三個漏洞,研究團隊秉持高道德標準,遵守漏洞揭露程序、主動通報原廠後並獲得微軟官方致謝。其中CVE-2022-22040此一漏洞甚至獲得微軟提供的三萬美元漏洞獎勵,直達過往微軟曾經提供給阻斷服務攻擊(DoS,denial of service)的最高獎金!
主動式資安協防台企業 下一步瞄準資安人才搖籃
DEVCORE技術團隊具備深厚研究能量,也屢次在Pwn2Own、Pwnie Awards、 Pwn2Own Austin等競賽中擊敗其他隊伍,為台灣奪下佳績。此外,DEVCORE更憑藉著長期積累的漏洞研究能力,於2017年成為全台第一間推出「紅隊演練」(Red Team Assessment)主動式資安檢測服務的公司,獲政府、金融、電商、半導體、醫療等產業內重量級組織的信賴。放眼未來,DEVCORE將持續透過主動式資安服務協防台灣企業的資安防護,也將招募並培育潛力新秀、與人才一同成長,為台灣累積更多資安能量與競爭力,共同維繫全球資訊安全,堅持透過最強的攻擊能量,協助企業建構強韌的防禦體系。