打破VMware“不败金身” 360获得VMware官方致谢

 　　近日，在韩国首尔举办的世界黑客大赛PwnFest上，来自中国的360安全联队利用3枚0day漏洞攻破了虚拟化软件VMware，成为全球首个公开挑战该项目成功的团队。韩国神童Lokihardt紧随其后，也成功对该项目进行了破解。VMware官方随即发布消息，对协助其发现未知漏洞的360及Lokihardt进行致谢，并表示已经着手修复存在的安全问题。

　　图：VMware官方致谢360安全联队

　　VMware在安全圈内一直有着“不败金身”的称号，而实现虚拟化平台的逃逸更被认为是顶级黑客神技。除了七年前VMware的旧版本曾有过被破解的传说外，从未有黑客能在公开赛事上成功破解该项目。今年的Pwn2Own上，VMware首次公开摆擂就让全球顶尖高手折戟，主办方大手笔设置了7.5万美金也没能撼动VMware分毫。

　　在虚拟机中执行攻击，并利用虚拟化软件的漏洞，实现在宿主机中执行任意代码，这相当于从虚拟世界直接攻击现实世界，横跨了一个平行世界，正因如此，一直到几天前，VMware还是黑客们眼中的终极难题。

　　本次PwnFest上，主办方POC(Power of Community)设置了15万美元的高额奖金，吸引顶尖黑客再度挑战VMware。经过抽签决定比赛顺序，360安全联队和韩国神童Lokihardt先后出场，分别实现了从虚拟机攻入宿主机执行任意代码，VMware的不败神话终于落幕。

　　图：360安全联队10秒打破VMware不破神话

　　PwnFest黑客大赛由微软、谷歌、苹果、Adobe、VMware五大厂商担当评委，比赛选手使用的所有漏洞细节均提交给相应厂商进行修复，以保障用户的安全。360安全联队除了攻破VMware之外，还成功破解了Edge、Pixel、Flash三个项目，共获得53万美元的奖金;韩国神童Lokihardt攻破Edge和VMware workstation获得29万美元奖金，盘古&JH联队则攻破Safari获得10万美元奖金。最终，360以最高的奖金获得“破解之王”的金牌。

　　图:360安全联队获“破解之王”奖牌