臺灣資安公司戴夫寇爾首席資安研究員Orange Tsai(蔡政達)再度獲得黑帽大會有資安界奧斯卡獎之稱的Pwnie Awards肯定,耗時半年研究的微軟Exchange郵件伺服器漏洞獲得「最佳伺服器端漏洞」獎項。

東京奧運不停傳出臺灣選手獲獎消息之際,在全球資安漏洞研究領域,臺灣專家近期也受到矚目。因為,臺灣資安公司戴夫寇爾(Devcore)首席資安研究員Orange Tsai(蔡政達)再度獲得有資安界奧斯卡獎之稱「2021 Pwnie Awards」的「最佳伺服器漏洞」(Best Server-Side Bug)為臺灣資安圈爭光,相關獎項於臺灣時間8月5日上午8點公布。這也是蔡政達暨2019年以Pulse Secure的SSL VPN產品漏洞獲得年度最佳伺服器漏洞獎後,二度獲獎。

伺服器端漏洞有7個入圍,3個與郵件伺服器相關

黑帽大會(Blackhat)每年都會舉辦漏洞界奧斯卡獎的Pwnie Awards獎項,今年因為疫情關係,同樣也採線上頒獎形式,目的就是希望可以肯定資安研究員的研究。

今年,伺服器漏洞的提名有七個入圍漏洞,Orange Tsai在入圍名單公布後,也首度在個人臉書上表示,除了感謝他在今年三月,針對微軟伺服器Exchange漏洞(漏洞編號:CVE-2021-26855;CVE-2021-27065以及其他待揭露漏洞標號)獲得提名肯定外,他也認為,其他的入圍獎項的競爭對手,也都是現今各界需要關注的伺服器漏洞。

蔡政達表示,入圍的項目中,有兩個都與微軟印表機漏洞相關,一個是重複修了再修、修了再修的印表機後臺處理程序漏洞(漏洞編號:CVE-2021-1675);另外一個同樣引發各界關注的漏洞就是,資安研究人員以為已經完成漏洞修補,便把攻擊代碼上傳GitHub後才發現,這其實是一個微軟還沒有修復的漏洞PrintNightmare(漏洞編號:CVE-2021-34527)。

他說,還有入圍的漏洞項目有像是基本HTTP協助層的HTTP.sys UAF 漏洞(漏洞編號:CVE-2021-31166);或者是VMware ESXI SLP協議上的遠端程式碼執行漏洞(漏洞編號:CVE-2021-21974)。

除了微軟郵件伺服器外,同時入圍的還有其他兩個常見郵件伺服器的漏洞,一個是15年前發現的漏洞,當年因為無法被駭客利用所以就沒有修補相關漏洞,但到現在,卻因為硬碟和記憶體容量都變大,漏洞變好用、可以透過遠端程式碼執行(RCE)濫用的Qmail郵件伺服器漏洞(CVE-2005-1513),以及被連續發現漏洞的郵件伺服器Exim的21 Nails漏洞,漏洞編號多到無法全部一次列舉。

最佳伺服器端漏洞由微軟Exchange郵件伺服器漏洞獲得

Pwnie Awards得獎名單公布後,Orange Tsai以其花費半年時間研究的微軟Exchange郵件伺服器漏洞,打敗其他來自世界各地的六支隊伍獲獎,這也是他第二度獲得Pwnie Awards的肯定,成為唯一獲獎的臺灣資安團隊。

「當我們放眼全世界,站上國際舞台的時候,使命感就會油然而生,希望能驕傲的講出我們來自台灣。」Orange Tsai覺得很榮幸,過去半年來研究微軟Exchange郵件伺服器漏洞的成果,可以再次獲得Pwnie Awards評審團的青睞,並為臺灣留下一座獎盃。

他認為,對戴夫寇爾而言,駭客是終身職,未來也會持續找出更多世界級的漏洞,讓全世界看到臺灣的資安研究能量。

熱門新聞


Advertisement