Trên website của cuộc thi về bảo mật lớn nhất thế giới Pwn2Own, tại hai bài thi tổ chức ngày 7 và 8/4, đội Việt Nam được đánh dấu "thành công".
Ở hạng mục "Leo thang đặc quyền" trên hệ điều hành Windows 10, các chuyên gia bảo mật của Việt Nam đã nâng quyền thành công cho người dùng từ thông thường lên đặc quyền System - có thể chiếm quyền điều khiển cao nhất trên máy tính.
Ở hạng mục "Máy chủ", họ cũng đã tấn công được vào hệ thống máy chủ email của Microsoft Exchange.
Sau hai phần thi, các chuyên gia đến từ Việt Nam đã tìm ra năm lỗ hổng mới đặc biệt nghiêm trọng cho Microsoft gồm ba lỗ hổng của máy chủ Exchange và hai lỗ hổng của Windows 10. Nếu khai thác thành công các lỗ hổng này, kẻ xấu có thể chiếm quyền điều khiển của máy tính hay chiếm email, từ đó xâm nhập vào hệ thống của các tổ chức, doanh nghiệp để sử dụng máy chủ email Microsoft Exchange.
Với thành tích đáng nể này, đội Việt Nam đã được trao thưởng 40.000 USD và được ghi nhận trong hệ thống giải thưởng toàn cầu.
Hai chuyên gia của đội Việt Nam trong cuộc thi Pwn2Own 2021 là Đào Trọng Nghĩa và Phạm Văn Khánh của công ty Viettel Cyber Security.
Đào Trọng Nghĩa sinh năm 1998 là chuyên gia nghiên cứu mảng lỗ hổng phần mềm. Anh từng nhiều lần phát hiện kẽ hở nghiêm trọng của hệ điều hành Windows và được Microsoft ghi nhận.
Phạm Văn Khánh sinh năm 1989 đã phát hiện gần 20 lỗ hổng zero-day trên các nền tảng của Microsoft, như MS Exchange, MS Dynamic, IIS và được Microsoft xếp thứ 19 trong top các chuyên gia tìm lỗ hổng của hãng năm 2020.
Anh Nghĩa chia sẻ, bài thi là một thử thách lớn, anh vừa phải tìm lỗi để khai thác, vừa viết mã tấn công, trong thời gian ngắn.
Pwn2Own 2021 có 23 đội thi tham dự, được tổ chức theo hình thức trực tuyến. Mỗi bài thi tại Pwn2Own giới hạn thời gian là 20 phút, mỗi đội có 3 lượt thử. Hai chuyên gia của Việt Nam đều hoàn thành bài thi dưới 5 phút.
Sau 2 bài thi, đội đến từ Việt Nam đứng thứ tư trong bảng xếp hạng của Pwn2Own với 11,5 điểm.
Pwn2Own do Zero Day Initiative là một trong những cuộc thi về bảo mật lớn nhất thế giới. Năm nay, đối tác của cuộc thi này gồm Microsoft, Adobe, VMWare, Zoom và Tesla. Các đội tham gia sẽ tìm cách tấn công vào các sản phẩm của các công ty này.