VnReview
Hà Nội

Microsoft Edge and Apple Safari trở thành “nạn nhân” trong cuộc thi bảo mật Pwn2Own 2018

Hai trình duyệt hàng đầu của Apple và Microsoft tiếp tục trở thành "nạn nhân" chính của các hacker mũ trắng trong cuộc thi bảo mật Pwn2Own 2018 năm nay.

Ngay trong ngày đầu diễn ra cuộc thi bảo mật danh tiếng Pwn2Own 2018, trình duyệt Microsoft Edge và Apple Safari đã trở thành nạn nhân của những hacker mũ trắng.

Theo trang SecurityWeek, nhà nghiên cứu bảo mật Richard Zhu đã thất bại trong việc chinh phục trình duyệt Safari khi không thể qua mặt sandbox trong 30 phút. Tuy nhiên sau đó, Zhu đã nhanh chóng lấy lại phong độ và khai thác thành công lỗ hổng trên trình duyệt Microsoft Edge và kiếm về 70 ngàn USD khi đồng hồ đếm ngược chỉ còn hơn 1 phút.

Richard Zhu đang hack trình duyệt web Safari

Trong khi đó, nhà bảo mật Samuel Groß thuộc đội Phoenhex đã xuất sắc hack thành công Safari và nhận về 65 ngàn USD tiền thưởng. Một nhà bảo mật khác có tên Niklas Baumstark cũng từ đội Phoenhex đã kiếm được 27 ngàn USD sau khi hack thành công VirtualBox.

Ngày thứ hai của cuộc thi, Zhu xuất sắc kiếm được khoản thưởng 50 ngàn USD khi hack thành công trình duyệt Mozilla Firefox. Với thành công đạt được, Zhu cũng ẵm về thêm cho anh giải thưởng Master of Pwn.

Tổng giải thưởng mang về cho chuyên gia bảo mật lên tới 120 ngàn USD cộng số điểm thưởng lên tới 65 ngàn điểm từ ban tổ chức sáng kiến Zero Day (ZDI).

Có thể nhiều người sẽ đặt nghi vấn rằng, phải chăng các trình duyệt trên không thực sự an toàn khi dễ dàng bị hacker khai thác lỗ hổng. Tuy nhiên cần phải khẳng định rằng, các thủ thuật tấn công trình duyệt của các hacker mũ trắng đều hết sức tinh vi và phức tạp.

Nói cách khác, không phải ai cũng đủ khả năng khai thác và lợi dụng trình duyệt. Đó là chưa kể, tất cả các lỗ hổng bị phơi bày trong cuộc thi này sẽ sớm được chính các hãng vá lại sau vài tuần tới.

Pwn2Own 2018 đã trao tổng số giải thưởng lên tới 267 ngàn USD, một con số vẫn còn khá thấp so với nhiều năm trước. Cụ thể, năm 2017 ghi nhận số tiền thưởng khổng lổ đã trao là 833 ngàn USD, năm 2016 là 460 ngàn USD và 2015 là 552 ngàn USD.

Lý giải cho sự sụt giảm này, ban tổ chức ZDI cho hay, một số chuyên gia bảo mật đã buộc phải rút lui vì nhiều lý do khác nhau. Trong đó có nguyên nhân từ việc Microsoft bất ngờ tung bản vá lỗ hổng mới đây ngăn ý định khai thác của nhiều hacker mũ trắng.

Cuộc thi bảo mật Pwn2Own 2018 đánh dấu lần đầu tiên có sự tham gia của đối tác Microsoft và nhà tài trợ Vmware. Cả hai cùng đóng góp số tiền thưởng lên tới 2 triệu USD. Các lỗi nhắm tới trong cuộc thi gồm công nghệ ảo hóa, trình duyệt web, ứng dụng doanh nghiệp và máy chủ.

Trong đó, giải cao nhất tại Pwn2Own 2018 được treo thưởng lên tới 150 ngàn USD liên quan đến Hyper-V trong khi Windows SMB và Outlook là 100 ngàn USD.

Tiến Thanh

Chủ đề khác