Mất 5 phút phát hiện lỗi của Microsoft, hai chuyên gia Việt Nam nhận 40.000 USD
Hai chuyên gia bảo mật Việt Nam đã tìm ra lỗ hổng trong email và Windows 10 của Microsoft, giành giải thưởng 40.000 USD tại cuộc thi bảo mật hàng đầu thế giới.
Hai chuyên gia bảo mật Việt Nam đã tìm ra lỗ hổng trong email và Windows 10 của Microsoft, giành giải thưởng 40.000 USD tại cuộc thi bảo mật hàng đầu thế giới.
Trên website của cuộc thi về bảo mật Pwn2Own, đội Việt Nam được đánh dấu "thành công" tại hai bài thi tổ chức ngày 7 và 8/4. Ở hạng mục "Leo thang đặc quyền" trên hệ điều hành Windows 10, đội đã thành công trong việc nâng quyền người dùng từ thông thường lên đặc quyền System - có thể chiếm quyền điều khiển cao nhất trên máy tính. Ở hạng mục "Máy chủ", đội cũng đã thành công trong việc tấn công vào hệ thống máy chủ email của Microsoft Exchange.
Sau hai phần thi, các chuyên gia đến từ Việt Nam đã giúp Microsoft tìm ra năm lỗ hổng mới, trong đó hai lỗ hổng của Windows 10 và ba lỗ hổng của máy chủ Exchange. Các lỗ hổng này đều được đánh giá là đặc biệt nghiêm trọng. Nếu bị khai thác, hacker có thể chiếm quyền điều khiển của máy tính hay chiếm email, xâm nhập vào hệ thống của các tổ chức, doanh nghiệp sử dụng máy chủ email Microsoft Exchange. Kết quả này giúp đội Việt Nam nhận giải thưởng 40.000 USD và được ghi nhận trong hệ thống giải thưởng toàn cầu.
Hai chuyên gia tham gia cuộc thi Pwn2Own là Phạm Văn Khánh và Đào Trọng Nghĩa của công ty Viettel Cyber Security. Trong đó, Phạm Văn Khánh từng xếp thứ 19 trong top các chuyên gia tìm lỗ hổng của Microsoft năm 2020. Khánh đã phát hiện gần 20 lỗ hổng zero-day trên các nền tảng của Microsoft, như MS Exchange, MS Dynamic, IIS. Đào Trọng Nghĩa là chuyên nghiên cứu mảng lỗ hổng phần mềm, nhiều lần được Microsoft ghi nhận nhờ phát hiện kẽ hở nghiêm trọng của hệ điều hành Windows.
Anh Nghĩa đánh giá bài thi là một thử thách lớn. "Việc tìm lỗi bình thường đã khó. Trong cuộc thi, tôi phải vừa tìm lỗi để khai thác, vừa viết mã tấn công, trong thời gian ngắn", chuyên gia bảo mật sinh năm 1998, chia sẻ.
Giới hạn thời gian của mỗi bài thi tại Pwn2Own là 20 phút. Mỗi đội có 3 lượt thử. Các chuyên gia của Việt Nam đều thành công ngay trong lượt thử đầu tiên, và thời gian hoàn thành bài thi đều dưới 5 phút.
Pwn2Own là một trong những cuộc thi về bảo mật lớn nhất thế giới, do Zero Day Initiative tổ chức thường niên từ năm 2007. Theo đánh giá của Wired, Pwn2Own có vai trò quan trọng với ngành công nghiệp và công nghệ toàn cầu, khi quy tụ những chuyên gia hàng đầu về bảo mật, có khả năng tấn công hầu hết hệ thống công nghệ thông tin quan trọng từ đồ gia dụng tới các nhà máy hạt nhân.
Năm nay, đối tác của cuộc thi này gồm Microsoft, Adobe, VMWare, đồng thời có thêm Zoom và Tesla - những công ty có tầm ảnh hưởng rộng trong thời gian gần đây. Các công ty này sẽ chi tiền thưởng để các đội thi tấn công vào các sản phẩm của họ. Theo BleepingComputer, các công ty bị phát hiện có lỗ hổng sẽ phải tung ra bản vá trong 90 ngày.
Pwn2Own 2021 được tổ chức theo hình thức trực tuyến với 23 đội thi tham dự. Với hai bài thi, đội đến từ Việt Nam giành 11,5 điểm, đứng thứ tư trong bảng xếp hạng của Pwn2Own.
