Microsoft Edge and Apple Safari trở thành mục tiêu tấn công của hacker mũ trắng
Trong cuộc thi bảo mật
Ngay trong ngày đầu diễn ra cuộc thi bảo mật danh tiếng Pwn2Own 2018, hai trình duyệt Microsoft Edge và Apple Safari đã "trở thành nạn nhân" tấn công mạng đầu tiên của những hacker mũ trắng.
Tại đây, nhà nghiên cứu bảo mật Richard Zhu đến từ Trung Quốc đã bị thất bại trong việc chinh phục trình duyệt Safari khi không thể qua mặt sandbox trong 30 phút. Tuy nhiên sau đó, Zhu đã nhanh chóng lấy lại phong độ và khai thác thành công lỗ hổng trên trình duyệt Microsoft Edge và mang về 70.000 USD tiền thưởng khi đồng hồ đếm ngược chỉ còn hơn 1 phút là kết thúc - trang SecurityWeek mô tả.
Richard Zhu đang hack trình duyệt web Safari nhưng không thành công.
Trong khi đó, nhà nghiên cứu bảo mật Samuel Groß - thuộc đội Phoenhex, đã xuất sắc hack thành công Safari của Apple và nhận về 65.000 USD tiền thưởng.
Còn Niklas Baumstark - một nhà nghiên cứu bảo mật khác, cũng đến từ đội Phoenhex, đã kiếm được 27.000 USD sau khi hack thành công VirtualBox.
Trong ngày thứ hai của cuộc thi, Zhu lại xuất sắc hack thành công trình duyệt Mozilla Firefox và tiếp tục nhận được khoản thưởng 50.000 USD. Với thành công đạt được trong cuộc thi này, Zhu cũng đã mang về cho mình giải thưởng Master of Pwn.
Tổng giải thưởng mang về cho chuyên gia bảo mật Richard Zhu lên tới 120.000 USD. Ngoài ra, Zhu còn được cộng số điểm thưởng lên tới 65.000 điểm từ ban tổ chức sáng kiến Zero Day (ZDI).
Sau cuộc thi này, có thể nhiều người sẽ đặt nghi vấn rằng, phải chăng các trình duyệt trên không thực sự an toàn khi dễ dàng bị các hacker mũ trắng khai thác lỗ hổng như thế. Tuy nhiên, chúng ta cần phải nhớ rằng, các thủ thuật tấn công trình duyệt của các hacker mũ trắng đều hết sức tinh vi và phức tạp, và không phải ai cũng làm được. Nhưng quan trọng hơn là, sau khi bị các hacker mũ trắng "lật tẩy", các hãng công nghệ sẽ "tự kiểm điểm" lại xem mình có lỗi ở đâu để có sự điều chỉnh và vá những lỗ hổng ấy ngay. Điều này hết sức có lợi cho người dùng.
Kết thúc cuộc thi Pwn2Own 2018, Ban tổ chức đã trao tổng số giải thưởng lên tới 267.000 USD, một con số vẫn còn khá thấp so với nhiều năm trước. Cụ thể, năm 2017 ghi nhận số tiền thưởng khổng lổ đã trao là 833.000 USD, còn năm 2016 là 460.000 USD và 2015 là 552.000 USD.
Lý giải cho sự sụt giảm này, ban tổ chức ZDI cho hay, một số chuyên gia bảo mật đã buộc phải rút lui vì nhiều lý do khác nhau. Trong đó có nguyên nhân từ việc Microsoft bất ngờ tung bản vá lỗ hổng mới đây ngăn ý định khai thác của nhiều hacker mũ trắng.
Cuộc thi bảo mật Pwn2Own 2018 đánh dấu lần đầu tiên có sự tham gia của đối tác Microsoft và nhà tài trợ Vmware. Cả hai đại diện này cùng đóng góp số tiền thưởng lên tới 2 triệu USD.
Các lỗi được nhắm tới trong cuộc thi năm nay gồm công nghệ ảo hóa, trình duyệt web, ứng dụng doanh nghiệp và máy chủ. Trong đó, giải cao nhất tại Pwn2Own 2018 được treo thưởng lên tới 150.000 USD liên quan đến Hyper-V trong khi Windows SMB và Outlook là 100.000 USD, nhưng không có hacker mũ trắng nào phá được.
Thanh Trà
