再传捷报！台湾资安公司戴夫寇尔研究员二度获得资安届奥斯卡奖Pwnie Awards最佳服务器漏洞奖

东京奥运不停传出获奖消息之际，台湾资安公司戴夫寇尔（Devcore）首席资安研究员Orange Tsai（蔡政达）再度获得有资安界奥斯卡奖之称“2021 Pwnie Awards”的“最佳服务器漏洞”（Best Server-Side Bug）为台湾资安圈争光，相关奖项于台湾时间8月5日上午8点公布。这也是蔡政达暨2019年以Pulse Secure的SSL VPN产品漏洞获得年度最佳服务器漏洞奖后，二度获奖。

服务器端漏洞有7个入围，3个与邮件服务器相关

黑帽大会（Blackhat）每年都会举办漏洞界奥斯卡奖的Pwnie Awards奖项，今年因为疫情关系，同样也采线上颁奖形式，目的就是希望可以肯定资安研究员的研究。

今年，服务器漏洞的提名有七个入围漏洞，Orange Tsai在入围名单公布后，也首度在个人脸书上表示，除了感谢他在今年三月，针对微软服务器Exchange漏洞（漏洞编号：CVE-2021-26855；CVE-2021-27065以及其他待揭露漏洞标号)获得提名肯定外，他也认为，其他的入围奖项的竞争对手，也都是现今各界需要关注的服务器漏洞。

蔡政达表示，入围的项目中，有两个都与微软打印机漏洞相关，一个是重复修了再修、修了再修的打印机后台处理程序漏洞（漏洞编号：CVE-2021-1675）；另外一个同样引发各界关注的漏洞就是，资安研究人员以为已经完成漏洞修补，便把攻击代码上传GitHub后才发现，这其实是一个微软还没有修复的漏洞PrintNightmare（漏洞编号：CVE-2021-34527）。

他说，还有入围的漏洞项目有像是基本HTTP协助层的HTTP.sys UAF 漏洞（漏洞编号：CVE-2021-31166）；或者是VMWare ESXI SLP协议上的远端执行代码漏洞（漏洞编号：CVE-2021-21974）。

除了微软邮件服务器外，同时入围的还有其他两个常见邮件服务器的漏洞，一个是15年前发现的漏洞，当年因为无法被骇客利用所以就没有修补相关漏洞，但到现在，却因为硬盘和内存容量都变大，漏洞变好用、可以远端代码执行（RCE）的Qmail邮件服务器漏洞（CVE-2005-1513），以及被连续发现漏洞的邮件服务器Exim的21 Nails漏洞，漏洞编号多到无法全部一次列举。

最佳服务器端漏洞由微软Exchange邮件服务器漏洞获得

Pwnie Awards得奖名单公布后，Orange Tsai以其花费半年时间研究的微软Exchange邮件服务器漏洞，打败其他来自世界各地的六支队伍获奖，这也是他第二度获得Pwnie Awards的肯定，成为唯一或养的台湾资安团队。

“当我们放眼全世界，站上国际舞台的时候，使命感就会油然而生，希望能骄傲的讲出我们来自台湾。”Orange Tsai觉得很荣幸，过去半年来研究微软Exchange邮件服务器漏洞的成果，可以再次获得Pwnie Awards评审团的青睐，并为台湾留下一座奖杯。

他认为，对戴夫寇尔而言，骇客是终身职，未来也会持续找出更多世界级的漏洞，让全世界看到台湾的资安研究能量。