Pwn2Own 2022: Windows 11 và Teams liên tục bị “xuyên thủng” trong ngày đầu tiên của sự kiện

Pwn2Own là cuộc thi hack được tổ chức hàng năm trong khuôn khổ hội nghị bảo mật CanSecWest bắt đầu từ năm 2007. Đây là dịp để các thí sinh và chuyên gia an ninh mạng thể hiện kỹ năng của họ trong việc tìm kiếm lỗi, khai thác lỗ hổng zero-day và hàng loạt vấn đề khác. Những người tham gia sẽ thoải mái bẻ khóa hợp pháp vào các phần mềm và thiết bị được sử dụng rộng rãi trên thị trường, với những lỗ hổng chưa từng biết đến trước đó. Đổi lại là phần thưởng vật chất cũng như sự vinh danh từ cộng đồng.

Như thường lệ, Pwn2Own năm nay tiếp tục được tổ chức tại Vancouver, Canada. Và chỉ trong ngày đầu tiên diễn ra sự kiện, hàng loạt sản phẩm lớn của Microsoft, trong đó bao gồm Teams và Windows 11, đã liên tục bị “khoan phá” thành công, mang đến cho các hacker những phần thường giá trị.

Hacker mũ trắng nổi tiếng Hector "p3rro" Peralta là người bắn phát súng đầu tiên với việc chứng minh thành công một cấu hình không phù hợp của Microsoft Teams, và kiếm được 150.000 đô la cho phát hiện của mình.

Sau đó ít giờ, Microsoft Team lại trở thành “nạn nhân” khi nhà nghiên cứu bảo mật Masato Kinugawa thực thi thành công một chuỗi 3 lỗi bao gồm lây nhiễm, định cấu hình sai và thoát khỏi sandbox. Cùng với đó là 2 lỗ hổng zero-click được phát hiện bởi nhóm các hacker Daniel Lim Wee Soong, Poh Jia Hao, Li Jiantao và Ngo Wei Lin.

Bên cạnh Team, Windows 11 cũng là “con gà đẻ trứng vàng” với các thí sinh tham gia Pwn2Own năm nay. Bất chấp những tuyên bố mạnh mẽ của Microsoft về khả năng bảo mật của phiên bản Windows mới nhất, Marcin Wiązowski đã thực hiện thành công một lệnh leo thang đặc quyền nghiêm trọng trong Windows 11, bỏ túi 40.000 USD và được Microsoft đánh giá cao.

Các sản phẩm của Microsoft không phải là những phần mềm duy nhất bị “xuyên thủng” trong ngày đầu tiên của Pwn2Own Vancouver 2022. Hàng loạt thí sinh đã kiếm được điểm và tiền thưởng sau khi bẻ khóa thành công Oracle Virtualbox, Mozilla Firefox, Ubuntu Desktop và Apple Safari. Những sự kiện như thế này đóng vai trò cực kỳ quan trọng trong việc giúp Microsoft và các công ty khác cải thiện tính bảo mật chung cho các sản phẩm của mình.

Tổng cộng, các thí sinh tham gia Pwn2Own 2022 đã kiếm được 800.000 USD chỉ trong ngày đầu tiên diễn ra sự kiện. Con số này tương đương với 16 lỗ hổng zero-day từ cơ bản đến nghiêm trọng, được tìm thấy trên hàng loạt sản phẩm phần mềm, dịch vụ khác nhau.