Cuộc thi hack phát hiện 3 lỗ hổng zero-day mới trên Windows 11

[Nan Đắc Hữu Tình Nhân]

Các lỗ hổng được trình diễn tại Pwn2Own Berlin, một trong những cuộc thi an ninh mạng uy tín nhất thế giới. Tại đây, các chuyên gia bảo mật sẽ cố gắng khai thác lỗi trong những phần mềm và hệ điều hành phổ biến để chứng minh rằng lỗ hổng tồn tại. Nếu thành công, họ nhận tiền thưởng và toàn bộ chi tiết kỹ thuật sẽ được chuyển trực tiếp cho hãng phát triển để vá lỗi.

Trong trường hợp này, ba nhóm nghiên cứu khác nhau đã tìm ra cách khai thác các lỗ hổng zero-day trên Windows 11 nhằm leo thang đặc quyền, tức từ tài khoản người dùng thông thường chiếm quyền quản trị hệ thống.

Nhóm DEVCORE Research Team khai thác lỗi kiểm soát truy cập không đúng cách và nhận thưởng 30.000 USD, tương đương khoảng 780 triệu VNĐ. Nhà nghiên cứu Marcin Wiązowski sử dụng lỗi tràn bộ nhớ heap để chiếm quyền hệ thống và nhận 15.000 USD, tương đương khoảng 390 triệu VNĐ. Trong khi đó, Kentaro Kawane thuộc GMO Cybersecurity by Ierae kết hợp hai lỗi dạng “Use-After-Free” để thực hiện khai thác tương tự và cũng nhận 15.000 USD.

Điểm quan trọng là những lỗ hổng này chưa bị công khai chi tiết. Sau khi trình diễn thành công, toàn bộ thông tin đã được chuyển cho Microsoft, và hãng có 90 ngày để phát hành bản vá trước khi các chi tiết kỹ thuật được tiết lộ rộng rãi.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview