Chrome, Edge, Safari và Office 365 dễ dàng bị “khoan thủng” trong một cuộc thi bảo mật ở Trung Quốc

Đến hẹn lại lên, vào khoảng thời gian giữa tháng 11 hàng năm, những tên tuổi “khét tiếng” nhất trong giới công nghệ thông tin nói chung và bảo mật - an ninh mạng nói riêng lại tụ hội ở thành phố Thành Đô, Trung Quốc để tham gia so tài tại Tianfu Cup, cuộc thi hack đỉnh cao nhất của đất nước tỷ dân.

Đây đều là những hacker hàng đầu Trung Quốc (chủ yếu là mũ trắng), có tầm ảnh hưởng trong cộng đồng bảo mật quốc nội cũng như quốc tế. Sự kiện năm nay có tổng cộng 48 phiên thi, trong đó chủ yếu là hạng mục thực thi lỗ hổng zero-day trong một số phần mềm, ứng dụng phổ biến trên thị trường. Nếu thành công, các hacker sẽ nhận được giải thưởng tiền mặt, chứng nhận, và đặc biệt là danh tiếng lên như diều gặp gió với vị thế là người chiến thắng trong một cuộc thi hack uy tín.

Ngày thứ nhất: Safari, Microsoft Edge, Google Chrome và Office 365

Tianfu Cup diễn ra trong 2 ngày 16 - 17/11. Ngày đầu chính là ngày bận rộn nhất trong toàn sự kiện với 32 phiên hack được lên kế hoạch. Trong số đó, đã có 13 phiên thành công, bảy phiên hack đã thất bại và 12 phiên còn lại các nhà nghiên cứu bảo mật đã quyết định bỏ cuộc vì nhiều lý do khác nhau. Tuy nhiên đã có không ít dịch vụ, ứng dụng công nghệ nổi tiếng bị “khuất phục” thành công, cụ thể như sau:

• (3 lần khai thác thành công) Microsoft Edge (phiên bản cũ dựa trên công cụ EdgeHTML, không phải phiên bản Chromium mới)
• (2 lần khai thác thành công) Google Chrome
• (1 lần khai thác thành công) Safari
• (1 lần khai thác thành công) Office 365
• (2 lần khai thác thành công) Adobe PDF Reader
• (3 lần khai thác thành công) Router D-Link DIR-878
• (1 lần khai thác thành công) qemu-kvm + Ubuntu

360Vulcan chính là cái tên nổi bật nhất trong ngày “thi đấu” thứ nhất với 80.000 USD tiền thưởng cho việc hack thành công qumu-kvm + Ubuntu.

Ngày thứ hai: VMware bị đánh gục với 200.000USD tiền thưởng

Trong số 16 phần thi được lên kế hoạch cho ngày thi đấu thứ hai, chỉ có một nửa diễn ra đúng theo dự kiến, đồng thời cũng chỉ có một trường hợp duy nhất thành công, tuy nhiên mức thưởng lại vô cùng lớn, lên tới 200.000 USD.

Chủ nhân của số tiền thưởng đáng mơ ước trên tiếp tục thuộc về đội thi 360Vulcan với một phiên khai thác thành công lỗ hổng trên VMWare Workstation.

Toàn bộ lỗ hổng bảo mật bị phát hiện tại Tianfu Cup 2019 cũng như cách thức khai thác các lỗ hổng này sẽ được báo cáo cụ thể đến các đơn vị cung cấp tương ứng. Những cuộc thi như vậy có vai trò đặc biệt quan trọng đối với cộng đồng bảo mật nói chung và bản thân các nhà cung cấp ứng dụng nói riêng. Các hacker sẽ có được thù lao cũng như danh tiếng, trong khi các nhà cung cấp sẽ có được dịch vụ hoàn hảo nhất để mang đến cho người dùng.