Phòng và chống tấn công

Chuyên gia bảo mật kiếm được hơn 1 triệu đô từ việc khai thác 28 lỗ hổng zero-day

Cuộc thi hack Pwn2Own Berlin 2025 đã kết thúc, tại đây các nhà nghiên cứu bảo mật đã kiếm được 1.078.750 đô la sau khi khai thác 28 lỗ zero-day và gặp phải một số xung đột lỗi.

10:19, 21/05/2025

Trong suốt cuộc thi, họ nhắm mục tiêu vào các công nghệ doanh nghiệp trong các danh mục AI, trình duyệt web, ảo hóa, leo thang đặc quyền cục bộ, máy chủ, ứng dụng doanh nghiệp, đám mây gốc/container và ô tô.

 

Theo quy tắc của Pwn2Own, tất cả các thiết bị được nhắm mục tiêu đều đã cài đặt tất cả các bản cập nhật bảo mật và chạy phiên bản hệ điều hành mới nhất.

Mặc dù Tesla cũng cung cấp hai mẫu xe điên Tesla Model Y 2025 và Tesla Model 3 2024, các nhà nghiên cứu bảo mật tham gia cuộc thi chưa ghi nhận bất kỳ nỗ lực xâm nhập nào trong danh mục này trước khi Pwn2Own bắt đầu.

Các thí sinh đã thu về 260.000 đô la tiền thưởng sau ngày đầu tiên và thêm 435.000 đô la nữa vào ngày thứ hai sau khi khai thác 20 lỗ hổng zero-day. Vào ngày thứ ba của Pwn2Own, họ đã thu về thêm 383.750 đô la cho tám lỗ hổng zero-day nữa.

Sau khi các lỗ hổng này được trình diễn trong các sự kiện Pwn2Own, các nhà cung cấp có 90 ngày để phát hành các bản cập nhật bảo mật trước khi TrendMicro công khai chúng.

Đội STAR Labs SG đã giành chiến thắng trong cuộc thi Pwn2Own Berlin năm nay với 35 điểm Master of Pwn và giành được 320.000 đô la tiền thưởng trong suốt cuộc thi kéo dài ba ngày sau khi hack Red Hat Enterprise Linux, Docker Desktop, Windows 11, VMware ESXi và Oracle VirtualBox.

Nguyễn Thạch Hoàng của STAR Labs đã giành được phần thưởng cao nhất của cuộc thi là 150.000 đô la sau khi sử dụng một lỗ hổng tràn số nguyên để hack phần mềm ảo hóa VMware ESXi.

Đội Viettel Cyber ​​Security giành vị trí thứ hai sau khi trình diễn các lỗ hổng zero-day có thể cho phép kẻ tấn công thoát khỏi hệ thống máy chủ từ máy khách Oracle VirtualBox và hack Microsoft SharePoint bằng chuỗi khai thác kết hợp bỏ qua xác thực và hủy tuần tự hóa không an toàn.

Vào ngày thứ ba, đội Reverse Tactics một lần nữa hack phần mềm quản lý ảo của VMware bằng chuỗi khai thác lợi dụng lỗi tràn số nguyên và lỗi biến chưa khởi tạo để kiếm được 112.500 đô la và giành vị trí thứ ba trong bảng xếp hạng.

Mozilla đã vá hai lỗi zero-day của Firefox (CVE-2025-4918 và CVE-2025-4919) được trình diễn trong cuộc thi sau khi phát hành Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1 và phiên bản Firefox mới cho Android vào cuối tuần để giải quyết các lỗi này.

Vào tháng 3/2024, Mozilla đã khắc phục hai lỗ hổng zero-day khác trong trình duyệt web Firefox (CVE-2024-29943 và CVE-2024-29944) sau khi nhà nghiên cứu bảo mật Manfred Paul khai thác và báo cáo chúng tại Pwn2Own Vancouver 2024.

Sự kiện & Quan điểm
Lật tẩy những thủ đoạn lợi dụng danh nghĩa tự do báo chí để chống phá Việt Nam

Lật tẩy những thủ đoạn lợi dụng danh nghĩa tự do báo chí để chống phá Việt Nam

Hiện nay, Việt Nam đã, đang tham gia và nghiêm túc thực hiện các cam kết về vấn đề tự do ngôn luận, tự do báo chí theo Hiến chương Liên hợp quốc và các nghị định, hiệp ước quốc tế, khu vực liên quan. Bất chấp những nỗ lực và thành tựu của Việt Nam trong bảo vệ, thúc đẩy quyền tự do báo chí đã được các nước ghi nhận, đánh giá cao, một số cá nhân, tổ chức thù địch vẫn cố tình đưa ra những đánh giá mang tính áp đặt, định kiến về vấn đề này.

Các nước Bắc Âu và Estonia triển khai hệ thống thanh toán thẻ ngoại tuyến đề phòng mất kết nối Internet

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

Bình luận

Tin bài khác

Đề xuất cần có chế tài ngăn chặn “vốn ảo” của doanh nghiệp
16:14, 20/05/2025

Đề xuất cần có chế tài ngăn chặn “vốn ảo” của doanh nghiệp

Sáng 20/5, tiếp tục Kỳ họp 9, Quốc hội khóa XV, các ĐBQH đã cho ý kiến thảo luận về dự án Luật sửa đổi, bổ sung một số điều của Luật Doanh nghiệp.

Xem thêm
Xử lý nghiêm minh các hành vi kinh doanh hàng giả trên mạng xã hội
15:59, 20/05/2025

Xử lý nghiêm minh các hành vi kinh doanh hàng giả trên mạng xã hội

Các hành vi kinh doanh hàng giả, hàng không rõ nguồn gốc, hàng vi phạm quyền sở hữu trí tuệ trên sàn thương mại điện tử và mạng xã hội sẽ bị kiểm tra, xử lý nghiêm minh.

Xem thêm
Anh: Cơ quan hỗ trợ pháp lý xác nhận dữ liệu của người nộp đơn bị đánh cắp
13:53, 20/05/2025

Anh: Cơ quan hỗ trợ pháp lý xác nhận dữ liệu của người nộp đơn bị đánh cắp

Cơ quan hỗ trợ pháp lý Vương quốc Anh (LAA) đã xác nhận rằng, một cuộc tấn công mạng gần đây khá nghiêm trọng so với suy tính ban đầu, khi tin tặc đánh cắp một lượng lớn dữ liệu nhạy cảm của người nộp đơn trong vụ vi phạm dữ liệu.

Xem thêm
Các băng nhóm ransomware lợi dụng phần mềm độc hại Skitnet
10:30, 19/05/2025

Các băng nhóm ransomware lợi dụng phần mềm độc hại Skitnet

Các thành viên băng nhóm ransomware ngày càng có xu hướng sử dụng phần mềm độc hại mới có tên Skitnet ("Bossnet") để thực hiện các hoạt động khai thác lén lút sau trên các mạng bị xâm phạm.

Xem thêm
Khoảng 200 tỷ tệp dữ liệu bị rò rỉ trong các thùng lưu trữ đám mây
10:09, 19/05/2025

Khoảng 200 tỷ tệp dữ liệu bị rò rỉ trong các thùng lưu trữ đám mây

Từ tài liệu, thông tin xác thực đến mã nguồn và bản sao lưu nội bộ – hàng tỷ tệp bị rò rỉ do các thùng lưu trữ đám mây được cấu hình sai.

Xem thêm
Chi cục Thuế thương mại điện tử sẽ quản lý trực tiếp đối với Nhà cung cấp ở nước ngoài
10:16, 19/05/2025

Chi cục Thuế thương mại điện tử sẽ quản lý trực tiếp đối với Nhà cung cấp ở nước ngoài

Cục Thuế cho biết việc điều chỉnh cơ quan quản lý thuế lần này là sự thích ứng nhanh chóng trước sự phát triển mạnh mẽ của kinh tế số, thương mại điện tử xuyên biên giới.

Xem thêm
FBI: Các quan chức Hoa Kỳ bị nhắm mục tiêu trong các cuộc tấn công deepfake giọng nói
10:13, 16/05/2025

FBI: Các quan chức Hoa Kỳ bị nhắm mục tiêu trong các cuộc tấn công deepfake giọng nói

Cục điều tra liên bang Mỹ (FBI) cảnh báo rằng, tội phạm mạng sử dụng deepfake âm thanh do AI tạo ra để nhắm mục tiêu vào các quan chức Hoa Kỳ trong các cuộc tấn công lừa đảo bằng giọng nói bắt đầu vào tháng 4 năm nay.

Xem thêm