全球著名網(wǎng)絡(luò)安全峰會BlackHat USA 2022將于今年八月拉開帷幕，在近日公布的演講陣容中，360政企安全集團共有兩大漏洞研究成果成功入選。這也是繼不久前在BlackHat Aisa發(fā)布兩大重磅議題后，360安全專家團隊代表中國安全力量，又一次強勢亮相世界舞臺。

作為世界網(wǎng)絡(luò)安全行業(yè)的盛會，世界黑帽峰會（BlackHat）至今已有24年歷史，每年其都會在美國、歐洲、亞洲分別舉行一次大會，其中BlackHat USA最具規(guī)模和權(quán)威性，是了解全球最新安全研究成果及安全威脅最好的窗口。對安全技術(shù)研究人員來說，能夠登上BlackHat USA向世界分享自己的研究成果，象征著安全圈的最高榮譽。

此次，來自360漏洞研究院的安全專家將受邀參加大會，并基于《I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit》和《與瀏覽器的"交流"的另一種方式：從網(wǎng)絡(luò)棧出發(fā)攻擊Chrome》兩大主題演講，與數(shù)萬名安全決策者共探數(shù)字安全建設(shè)的發(fā)展之路。

?

議題一：

I Am Whoever I Say I Am:?

Infiltrating Identity Providers Using a 0Click Exploit

演講人：

360漏洞研究院高級安全研究員Steven Seeley

作為本議題的主講人，Steven Seeley聚焦0day漏洞攻擊性的研究，專注于影響云環(huán)境的Web應(yīng)用程序安全，在影響Adobe、Microsoft、Oracle、VMWare、Apple、Cisco和HPE等供應(yīng)商的軟件中發(fā)現(xiàn)了千余個高危漏洞。

本次，他將針對在政企辦公環(huán)境下十分常用的身份和訪問管理 (IAM) 解決方案，通過一些基本用例和在野攻擊造成的影響，著重介紹在審計過程中所面臨的安全挑戰(zhàn)與解決思路，其中不乏類似繞過嚴格的出站網(wǎng)絡(luò)訪問等最新攻擊方式。同時，他將現(xiàn)場演示他編寫的利用代碼，以揭示這些類型的攻擊可能對依賴 IAM 解決方案的組織產(chǎn)生的高度危害。

議題二：

與瀏覽器的"交流"的另一種方式：

從網(wǎng)絡(luò)棧出發(fā)攻擊Chrome

演講人：

360漏洞研究院安全研究員簡容

本次360漏洞研究院的另一議題是由安全研究員簡容發(fā)布，他多年來一直將瀏覽器安全作為研究重點，并接連在2020年、2021年的天府杯國際網(wǎng)絡(luò)安全大賽Chrome類別中屢獲佳績。尤其在2020年，身為360參賽安全團隊的重要一員，其參與攻破Chrome瀏覽器渲染進程和沙箱逃逸，完成遠程控制計算機的攻擊展示，這也是自2015年以來Chrome在國際比賽中被首次完全攻克。

在本次議題中，簡容將聚焦數(shù)字化辦公的重要基礎(chǔ)設(shè)施——瀏覽器，分享他在Chrome瀏覽器的網(wǎng)絡(luò)棧中發(fā)現(xiàn)的數(shù)個安全漏洞，并通過這些漏洞實現(xiàn)穩(wěn)定的遠程利用鏈。與常規(guī)攻擊JavaScript引擎和瀏覽器主進程的思路不同，攻擊網(wǎng)絡(luò)棧需要精確結(jié)合服務(wù)器端對瀏覽器的網(wǎng)絡(luò)響應(yīng)行為，從而觸發(fā)網(wǎng)絡(luò)棧中的邏輯問題，這將有力推動數(shù)字化辦公安全研究上升到一個新的里程碑高度。

?

從360漏洞研究院在本屆BlackHat USA中即將發(fā)表的兩個議題可以看出，面對全球數(shù)字化轉(zhuǎn)型戰(zhàn)略的深入推進，360政企安全集團基于17余年來實戰(zhàn)攻防經(jīng)驗的積累，不僅打造出東半球最大的安全專家團隊，并憑借在數(shù)字安全建設(shè)方面的持續(xù)研發(fā)投入，取得了顯著的成績。

?

在此其中，憑借多年對漏洞利用技術(shù)手段的深耕，360政企安全集團自2014年起，便多次在BlackHat USA中發(fā)表了關(guān)于操作系統(tǒng)端、Android設(shè)備端等一系列引領(lǐng)行業(yè)發(fā)展的漏洞利用思路。就在前不久開啟的BlackHat Asia 2022（亞洲黑帽峰會）中，360政企安全集團同樣發(fā)表了主題為《USMA：用戶態(tài)映射攻擊》和《下一代Windows漏洞利用：攻擊通用日志文件系統(tǒng)》的兩大演講，引發(fā)了全行業(yè)的高度關(guān)注。

?

同時，面對不斷加劇的高級威脅，其還憑借著一次又一次震撼全球的安全實力，不僅成為微軟MSRC、天府杯等國際獎項中屠榜的“?？汀?，還榮膺中國首個“The Pwnie Awards”史詩級成就獎和最佳提權(quán)漏洞獎，更是連續(xù)多年獲谷歌官方漏洞獎勵計劃年報（VRP）公開致謝，讓全球看到中國乃至亞洲安全力量的強勢崛起。

?

未來，360政企安全集團將持續(xù)在“以攻促防”的實戰(zhàn)思維引導下，推動數(shù)字安全建設(shè)的高質(zhì)量發(fā)展，助力廣大政企用戶整體提升應(yīng)對數(shù)字時代高級威脅的安全能力，為數(shù)字中國戰(zhàn)略的深入落地不斷貢獻力量！

轉(zhuǎn)載于：360微信公眾號：360政企安全

中國安全力量崛起！360兩大安全成果入選BlackHat USA

https://mp.weixin.qq.com/s/xGr91-OT8J6pKp_cPxcQQQ