Home > 전체기사
조용하게 열리고 있는 ‘온라인’ 폰투온 해킹대회, 한국인 두각 나타내
  |  입력 : 2020-03-19 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
밴쿠버에서 열리기로 했으나 코로나 사태 때문에 온라인으로 변경된 대회
1일차에서는 맥OS 사파리에서 권한 상승시키는 데 성공한 조지아공과대학 팀 앞서


[보안뉴스 문가용 기자] 유명 해킹 대회인 폰투온(Pwn2Own)이 코로나 사태 때문에 처음으로 원격 행사를 진행했다. 대회는 3월 18일부터 20일까지 이어진다. 원래는 캐나다 밴쿠버에서 열릴 예정이었으나 전 세계적인 팬데믹 사태 때문에 그렇게 하지 못했다. 그래서인지 행사를 주최하는 ZDI의 블로그와 공식 트위터 외에는 행사 진행 상황이나 결과가 보도되지 않고 있다.

[이미지 = ZDI 블로그]


18일 첫째 날 행사는 도전 과제 추첨부터 시작됐다. 첫 번째 과제는 조지아공과대학 시스템 소프트웨어 보안연구실의 진용휘, 임정원, 윤인수에게 주어졌다. 맥OS에 설치된 애플 사파리 브라우저를 통해 권한 상승을 일으키는 것이었고, 세 명은 여섯 개의 버그 사슬을 익스플로잇 함으로써 루트 권한에 도달하는 데 성공했다. 이 팀은 상금으로 7만 달러를 획득했다.

그 다음은 플루오레슨스(Flourescence) 팀의 차례였다. 마이크로소프트 윈도우 시스템에 접근해 권한을 상승시키는 과제를 받았다. UaF 취약점을 익스플로잇 함으로써 과제 수행에 성공했다. 4만 달러의 상금을 받았다.

세 번째로 레드로켓 CTF(RedRocket CTF) 팀이 우분투 데스크톱(Ubuntu Desktop) 플랫폼에서 로컬 권한 상승을 유발하는 과제를 성공시켰다. 3만 달러의 상금이 누적됐고, 네 번째로 나선 플루오로에서테이트(Fluoroacetate) 팀은 윈도우 로컬 권한 상승을 성공시켜 4만 달러의 상금을 획득했다.

19일, 행사는 2일차로 접어들었고, 역시나 무작위 추첨으로 정해진 과제를 각 팀이 수행하는 방식으로 진행되고 있다. 아직 결과가 발표되지 않았으나 과제와 담당 팀은 다음과 같이 배정된 상황이다.

1) 스타랩스(STAR Labs)의 피팜홍(Phi Pham Hong) : 오라클 버추얼박스(Oracle VirtualBox) 표적 공격
2) 플루오로에서테이트 팀 : 어도비 리더(Adobe Reader)를 겨냥한 로컬 권한 상승 공격
3) 사이낵티브(Synacktiv) 팀 : VM웨어 워크스테이션(VMware Workstation)을 겨냥한 공격
4) ZDI의 루카스 렁(Lucas Leong)의 특별 시연 : 오라클 버추얼박스를 겨냥한 공격

아직 추가 결과나 소식이 업데이트 되고 있지 않지만, 현재까지 누적 상금과 포인트 측면에서는 진용휘, 임정원, 윤인수로 구성된 조지아공과대학 팀이 선두를 달리고 있는 상황이다. 다만 이틀 차에도 과제를 수행한 플루오로에서테이트 팀이 결과에 따라 앞지를 수도 있게 된다.

3줄 요약
1. 원래는 밴쿠버에서 열렸어야 할 폰투온 2020 대회, 올해는 온라인에서 진행.
2. 1일차 결과 한국인 세 명 포함된 조지아공과대학 팀이 1위.
3. 온라인 대회라 그런지 개최자인 ZDI의 블로그를 통해서만 중계되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)