Pwn2Own 2019: Các chuyên gia bảo mật kiếm bộn tiền nhờ hack thành công trình duyệt Mozilla Firefox và Microsoft Edge

Trong ngày thứ hai của cuộc thi hack Pwn2Own 2019 đang diễn ra tại Vancouver, Canada, hai trình duyệt hàng đầu hiện nay là Firefox và Microsoft Edge đã bị các chuyên gia bảo mật khai thác lỗ hổng và qua mặt thành công.

Hai chuyên gia Amat Cama và Richard Zhu thuộc đội Fluoroacetate là những người đầu tiên xâm nhập thành công vào Firefox bằng cách khai thác lỗi JIT Bug và một bản ghi trong nhân Windows.

Kỹ thuật này cho phép chạy mã ở cấp độ hệ thống và chiếm toàn bộ máy sau khi chuyển hướng Firefox truy cập vào một trang web lừa đảo. Hai người đều nhận được giải thưởng 50 ngàn USD.

Trình duyệt Firefox cũng một chuyên gia khác có tên Niklas Baumstark hack thành công với việc khai thác hộp cát, lỗi JIT bug và lỗi logic. Baumstark sau đó đã chiếm được quyền điều khiển như người dùng thông thường như quyền đăng nhập và kiểm soát máy tính với tư cách quản trị viên. Anh cũng nhận được khoản tiền thưởng 40 ngàn USD cho màn trình diễn của mình.

Ngoài Firefox, đội Fluoroacetate cũng hack thành công trình duyệt Microsoft Edge với một cuộc tấn công phức tạp hơn và kiếm được 130 ngàn USD.

Fluoroacetate đã khai thác lỗ hổng Microsoft Edge trong khi sử dụng máy ảo VMWare Workstation. Họ thực hiện các đoạn mã trên phần mềm giám sát máy ảo (hypervisor) và tấn công vào sâu nhân Windows nhằm phơi bày các lỗ hổng bên trong trình duyệt.

Thành viên đội Fluoroacetate đang hack Microsoft Edge

Một chuyên gia khác có tên Arthur Gerkis thuộc đội Exodus Intelligence cũng đã khai thác thành công lỗ hổng trên Microsoft Edge liên quan đến lỗi logic, giúp người này có thể vượt mặt hộp cát. Màn trình diễn này giúp anh có được khoản thưởng lên tới 50 ngàn USD.

Các lỗ hổng được công bố tại Pwn2Own sẽ sớm được gửi tới Mozilla và Microsoft để tiến hành vá trong các bản cập nhật tới.

Chỉ trong hai ngày đầu tiên của cuộc thi Pwn2Own Vancouver 2019, các chuyên gia bảo mật tham gia đã nhận được tổng giá trị giải thưởng lên tới 510 ngàn USD cho 8 màn khai thác lỗ hổng và hack thành công trình duyệt Safari, Firefox, Microsoft Edge, máy ảo VMware Workstation và Virtualbox.

Ngày thứ ba của cuộc thi sẽ liên quan đến chủ đề ôtô. Theo đó, đội KunnaPwn và Fluoroacetate sẽ nhắm mục tiêu là hệ thống thông tin giải trí sử dụng nhân Chromium và hệ thống VCSEC trên xe Tesla Model 3.

Pwn2Own 2019 năm nay là cuộc thi đầu tiên có thêm hạng mục ôtô với giải thưởng dao động từ 35 ngàn - 300 ngàn USD tùy lỗi khai thác thành công.

Tham khảo Softpedia