在地人新聞 LTVNews
  • 生活
  • 地方
    • 北北基
    • 宜蘭
    • 桃園
    • 竹苗
    • 中彰投
    • 雲嘉
    • 台南
    • 高屏
    • 花東
    • 離島
  • 社會
  • 旅遊
  • 消費
  • 藝文
  • 綜合
  • 專題
沒有結果
查看所有結果
  • 生活
  • 地方
    • 北北基
    • 宜蘭
    • 桃園
    • 竹苗
    • 中彰投
    • 雲嘉
    • 台南
    • 高屏
    • 花東
    • 離島
  • 社會
  • 旅遊
  • 消費
  • 藝文
  • 綜合
  • 專題
沒有結果
查看所有結果
在地人新聞 LTVNews
沒有結果
查看所有結果
  • 生活
  • 地方
  • 社會
  • 旅遊
  • 消費
  • 藝文
  • 綜合
  • 專題
首頁 社會

全球頂尖駭客雲集 黑帽大會 Black Hat USA 登場

2022-08-19 01:36
發布在 社會
A A
全球頂尖駭客雲集  黑帽大會 Black Hat USA 登場
分享至FB分享至LINE

記者黃俊育 / 綜合報導

網路戰的烽火在全球持續升溫,成世界資安領域熱議焦點。全球資安最高殿堂— Black Hat USA(美國黑帽大會) 盛大登場,攻擊型資安公司 DEVCORE(戴夫寇爾)於(11)日再次受邀出席,連續五年登上 Black Hat USA 舞台,向全球揭露世界級研究漏洞成果!DEVCORE 首席研究員蔡政達(Orange Tsai)在大會中首度公開對 Microsoft 網際網路資訊服務 (Internet Information Services;IIS)的最新漏洞研究,以嶄新角度檢視全球大多數企業正在使用的 Windows Server 內建 IIS 的安全性。

現身美國黑帽大會  DEVCORE 向全球一展台灣資安研究能量

隨著網路環境日益複雜、駭客技術不斷更迭創新,越趨嚴峻的外在形勢也使資安成為企業須正視的營運風險。資安界頂尖殿堂— Black Hat 黑帽大會齊聚全球頂尖駭客,相互交流前沿技術與資訊,更是企業界認識潛在攻擊趨勢的主要渠道之一,吸引全球業界的引領企盼。

DEVCORE 團隊由世界級白帽駭客組成,長期深入研究攻擊技術及戰略,鑽研各類型攻擊手法,其首席研究員蔡政達(Orange Tsai)今年第五度同時錄取 Black Hat USA 和 DEFCON 駭客年會,向世界各地展現台灣在資安領域的這股能量。

兩大層面深度分析 Microsoft IIS 三漏洞 獲微軟肯定

IIS 是微軟所提供,基於運行 Microsoft Windows 作業系統的的網際網路基本服務,是管理各種電腦網路服務的整合介面,全球絕大多數使用 Windows 系統的企業,皆會選擇使用 Windows Server 內建的 IIS。蔡政達在 Black Hat USA 2022 大會上,發表並現場展示 DEVCORE 研究團隊如何花費數月時間,藉逆向工程了解 IIS 核心機制及內部架構,並揭露三種攻擊類型。

起因是蔡政達注意到 IIS 中用來查詢在記憶體儲存位置的資料結構 Hash Table(雜湊表,也稱哈希表), 恐潛藏巨大的的安全性議題,研究團隊故從實作面、使用面在重新檢視微軟設計的 Hash Table 的實作和 Hash Table 演算法使用的過程,進而挖掘出 Microsoft IIS 的三個漏洞,包含:

  • CVE-2022-22040:微軟的 Hash Table 實作問題,導致攻擊者可以將 20 年前猖獗的攻擊手法 Hash Flooding Attack 重現在 IIS 上,造成一台預設安裝的 IIS 因負荷滿載(overloading)而無法回應任何請求。
  • CVE-2022-22025:由於微軟的 Hash Table 使用邏輯不一致,導致 Cache Poisoning 攻擊可以實現在 IIS 上,這將使攻擊者汙染 IIS 回傳給其他使用者的 HTTP 回應。
  • CVE-2022-30209:微軟的 Hash Table 使用邏輯錯誤,讓攻擊者可以繞過 IIS 上的權限認證(Authentication Bypass)。此漏洞若經有心人士運用在 Exchange Server 上,攻擊者將能藉精心設計的密碼登入特定使用者信箱。

針對 Microsoft IIS 上的三個漏洞,研究團隊秉持高道德標準,遵守漏洞揭露程序、主動通報原廠後並獲得微軟官方致謝。其中 CVE-2022-22040 此一漏洞甚至獲得微軟提供的三萬美元漏洞獎勵,直達過往微軟曾經提供給阻斷服務攻擊(DoS,denial of service)的最高獎金!

主動式資安協防台企業  下一步瞄準資安人才搖籃

DEVCORE 技術團隊具備深厚研究能量,也屢次在 Pwn2Own、Pwnie Awards、 Pwn2Own Austin 等競賽中擊敗其他隊伍,為台灣奪下佳績。此外,DEVCORE 更憑藉著長期積累的漏洞研究能力,於 2017 年成為全台第一間推出「紅隊演練」(Red Team Assessment)主動式資安檢測服務的公司,獲政府、金融、電商、半導體、醫療等產業內重量級組織的信賴。放眼未來, DEVCORE 將持續透過主動式資安服務協防台灣企業的資安防護,也將招募並培育潛力新秀、與人才一同成長,為台灣累積更多資安能量與競爭力,共同維繫全球資訊安全,堅持透過最強的攻擊能量,協助企業建構強韌的防禦體系。

相關

標籤: 新頭條社會
前一篇文章

憲法法庭宣告個人資料保護法合憲 國發會:持續強化個資保護以完備憲法對人民資訊隱私權之保障

下一篇文章

「臺北•設計講」探索「設計臺北•夢想臺北」的設計魅力

下一篇文章

「臺北•設計講」探索「設計臺北•夢想臺北」的設計魅力

你可能喜歡

溪州鄉農會舉辦優質番石榴評鑑 邀請專業評審選出優勝者

2023-09-28 20:32

全世界第一個免費癌症朋友療癒中心 即將於9/16台南啟幕

2023-09-06 16:07

千人烤肉中秋聯歡晚會 蕭聰池:讓吳沙村亮起來!

2023-09-25 15:23

屏東安泰醫院擴大照護量能 失智共照中心舉辦樂智運動會

2023-09-18 15:18

2023第十二屆台灣小姐選拔賽 複選才藝賽高雄空大璀璨登場

2023-09-25 15:23

育兒友善城市! 臺東縣專屬育兒生日禮 10月起發送

2023-09-29 23:25

「maljeveq五年祭」 10/21~25達仁鄉土坂部落登場

2023-09-29 23:23

田中鎮2023年濃情慶中秋 邀請新住民齊聚慶團圓

2023-09-29 23:22

中秋連假臺東限定! 「藍海生活節」活水湖登場 夜間水舞氣勢磅礡

2023-09-29 22:58

台北國際秋季旅展  西拉雅風管處串聯地方節慶建構觀光新亮點

2023-09-29 19:32

影音/彰化縣親子嘉年華系列從10/7到11/19輪番上陣「屬於我們的童樂會」

2023-09-29 18:39
在地人新聞 LTVNews

近期文章

  • 育兒友善城市! 臺東縣專屬育兒生日禮 10月起發送
  • 「maljeveq五年祭」 10/21~25達仁鄉土坂部落登場
  • 田中鎮2023年濃情慶中秋 邀請新住民齊聚慶團圓

聯絡我們

聯繫信箱:[email protected]

  • 生活
  • 地方
  • 社會
  • 旅遊
  • 消費
  • 藝文
  • 綜合
  • 專題

© 2023 在地人新聞 LTVNews All Rights Reserved.

沒有結果
查看所有結果
  • 生活
  • 地方
    • 北北基
    • 宜蘭
    • 桃園
    • 竹苗
    • 中彰投
    • 雲嘉
    • 台南
    • 高屏
    • 花東
    • 離島
  • 社會
  • 旅遊
  • 消費
  • 藝文
  • 綜合
  • 專題

© 2023 在地人新聞 LTVNews All Rights Reserved.