蚂蚁安全实验室斩获天府杯2023国际网络安全大赛冠军及最具价值产品破解奖

11月1日，顶级破解赛事“天府杯”2023国际网络安全大赛于在成都落下帷幕。本次大赛由公安部发起，清华大学、国家工业信息安全发展研究中心、北京中关村实验室等十几家头部机构及企业联合主办。

据官方数据统计，此次大赛总计吸引了62支战队报名，数量达历史新高。来自国内外各大顶尖实验室的白帽黑客高手云集，围绕安全设备、办公类、云服务、移动端、操作系统、浏览器及虚拟化等多场景主流应用的攻防赛题，展开激烈角逐。大赛特别增加了现场限时破解挑战，真正展现了国际性网络安全攻防比赛的含金量。

此次大赛中，蚂蚁安全天穹、光年实验室组建了“蚂蚁天穹光年安全研究队”出战，并从众多强队中成功突围，摘得“最佳产品破解奖一等奖”，即天府杯国际网络安全大赛冠军。

在此次比赛中，“蚂蚁天穹光年安全研究队”完成最新版 VMware ESXi 虚拟机逃逸、Chrome 远程代码执行、Adobe PDF远程代码执行、Windows 11 提权、WPS 远程代码执行共计5套破解任务，其中VMware ESXi虚拟机逃逸破解凭借其技术难度和实战价值获得了赛事“最具价值产品破解奖”。

拿下难度最高项目：

VMware ESXi 虚拟机逃逸

VMware是虚拟化领域当之无愧的巨头。而ESXi作为其最重要的企业级虚拟化产品，是云计算领域的核心组件。简单来说，逃逸了ESXi虚拟机就能控制整个云服务器，进而控制所有虚拟机和运行的业务数据。业界共识，ESXi的安全性非常高，已经两年没有人能公开逃逸ESXi虚拟机。因此，完成该产品的突破一直被视为安全领域的顶级挑战，VMware ESXi 虚拟机逃逸也是本届赛事中难度最高的项目。

在该项目中，蚂蚁安全天穹实验室成员蒋宇豪、应鑫磊、张子明使用ESXi虚拟机的一个严重漏洞，结合独创的利用链和利用原语，在虚拟机内存中进行手术一般的精细操作，最终在ESXi 沙箱内实现了任意代码执行；然后又利用一个严重漏洞突破沙箱，直接获得了物理机的最高权限。作为本届比赛中的唯一一套ESXi破解，其技术难度和实战价值获得了裁判们的一致认可，最终获得“最具价值产品破解奖”。

利用10年前引入的远古漏洞

实现最新版Chrome远程代码执行

此外，天穹实验室还完成了本届比赛唯一一套Chrome破解。

在该项目中，实验室黄溪林破解利用了一个在Chrome中存在了至少10年严重漏洞。近几年Chrome增加了多个攻击缓解机制，使其利用起来十分困难。黄溪林通过其独创的利用技巧绕过了所有缓解机制，实现了远程代码执行：通过Chrome浏览器中的一个链接点击，就可以在被攻击者浏览器中执行任意代码，获取敏感信息。

全球首次突破 Adobe Reader

最新防御机制

在Adobe Reader 项目中，应鑫磊、张子明通过诱使被攻击者打开一个PDF文件，便可获得被攻击者电脑最高权限，完全控制其电脑。该破解分为两个阶段，第一阶段使用一个Adobe Reader的漏洞，获得沙箱内任意代码执行的权限。在比赛前一个月，Adobe Reader引入了新的防御机制——内存隔离，用来保护内部重要对象的数据不被漏洞修改，导致过去所有Adobe Reader的漏洞利用方法全部失效。面对这一突然出现的难题，应鑫磊经过大量分析与调试，设计了一套全新的利用方法，全球首次突破了 Adobe Reader 的这一防御机制。第二阶段使用一个Windows内核漏洞突破Adobe Reader 沙箱，直接获得了系统最高权限。

在积极参与国内外行业赛事、持续研究各类威胁面的同时，蚂蚁安全天穹实验室也将安全研究能力不断转化沉淀，持续打磨服务于业务的蓝军科技平台体系。多年来沉淀打造的多维智能风险挖掘平台和持续风险验证平台对内以攻促防提升了企业的安全水位，对外赋能行业生态安全，上报并协助修复了大量蚂蚁自身业务和外部知名厂商漏洞。其中多维智能风险挖掘平台，基于智能组件识别与洞察、控制流与数据流结合的漏洞挖掘、导向型模糊测试能力结合的精准漏洞挖掘等能力，为业务系统提供精准的风险识别能力；持续风险验证平台，自动化模拟攻击者进行持续的威胁和攻击模拟，以发现安全防御体系中的疏漏和失效点，从而帮助安全团队以常态化、自动化、全局化的视角对安全防御体系进行量化评估。

未来，天穹实验室还将继续保持强化安全攻防技术优势，为蚂蚁自身及相关生态安全保驾护航，为守护网络世界的安全继续贡献自己的力量。