Chuyên gia Viettel tiếp tục được vinh danh trên đấu trường Pwn2Own 2021
Không bất ngờ khi một lần nữa các chuyên gia của Công ty An ninh mạng Viettel đã xuất sắc giành chiến thắng tại hai hạng mục với ba phần thi trên đấu trường Pwn2Own 2021.
Từ một sự kiện tập trung khai thác các lỗ hổng trên trình duyệt, Pwn2Own đã trở thành cuộc thi tấn công mạng uy tín và lớn nhất thế giới sau 14 năm hoạt động. Được tổ chức bởi Zero Day Initiative, cuộc thi thu hút nhiều chuyên gia bảo mật trên toàn cầu với mức thưởng lên đến hàng triệu USD. Tại đây, các hãng công nghệ nổi tiếng sẽ đem các sản phẩm của mình làm mục tiêu trong các thử thách kiểm thử xâm nhập. Mỗi năm, Pwn2Own sẽ điều chỉnh các hạng mục thi, nhằm phản ánh chân thực sự phát triển của công nghệ, tìm kiếm các lỗ hổng bảo mật có tính thực tế. Năm 2021, Pwn2Own được tổ chức tại Vancouver (Canada) với hạng mục bổ sung “truyền thông doanh nghiệp”.
Lần thứ hai mang chuông đi đánh xứ người, hai chuyên gia của Công ty An ninh mạng Viettel (VCS) – cũng là đại diện duy nhất tại Việt Nam tham dự và đạt giải tại cuộc thi này. Hai chuyên gia Phạm Văn Khánh và Đào Trọng Nghĩa đã chinh phục hai hạng mục với ba phần thi.
Tại hạng mục leo thang đặc quyền (Local Escalation of Privilege), đội VCS đã thực hiện tấn công tràn số nguyên (Integer Overflow) trên hệ điều hành Window 10. Từ đó, nâng quyền từ người dùng thông thường lên đặc quyền hệ thống. Chiến thắng này đã mang về cho đội thi VCS 40.000 USD và 4 điểm trong bảng xếp hạng.
Ban tổ chức công bố trên mạng xã hội twitter về việc đội thi VCS đã khai thác thành công lỗ hổng trên Windows 10.
Hạng mục thứ hai mà đội thi VCS chiến thắng là máy chủ (Server). VCS đã xuất sắc khai thác thành công lỗ hổng trên Microsoft Exchange Server. Đáng tiếc là do bốc thăm sau, nên kết quả bị trùng lặp dẫn đến việc VCS chỉ giành 7,5 điểm thay vì ẵm trọn 20 điểm. Kết thúc chung cuộc, đội VCS đã giành tổng số điểm 11,5 và xếp vị trí thứ 5.
Bên cạnh thành tích tại Pwn2Own 2021, Phạm Văn Khánh còn nhiều lần được vinh danh trong danh sách Top 100 chuyên gia bảo mật thế giới do Microsoft công bố. Với việc phát hiện gần 20 lỗ hổng 0-day trên các nền tảng của Microsoft như MS Exchange, MS Dynamic, IIS, Phạm Văn Khánh đã vinh dự xếp thứ 19 (năm 2020) và thứ 11 (Quý I/2021) trong bảng xếp hạng Microsoft.
Còn Đào Trọng Nghĩa hiện là chuyên gia nghiên cứu lỗ hổng phần mềm của VCS, với thành tích phát hiện các lỗ hổng 0-day trên Windows.
Năm 2021, các đội tham gia cuộc thi tấn công mạng Pwn2Own theo hình thức trực tuyến.
Trước đó, đội thi của VCS cũng đã giành cú đúp chiến thắng trong hạng mục SmartTV tại Pwn2Own Tokyo 2020. Thành tích này một lần nữa đã khẳng định vị thế tiên phong, dẫn đầu của Công ty An ninh mạng Viettel trong lĩnh vực nghiên cứu chuyên sâu về ATTT tại Việt Nam. Đây cũng là động lực cho đội ngũ chuyên gia ATTT tại Việt Nam nói chung, trong nỗ lực hơn nữa để khẳng định năng lực trên các đấu trường quốc tế trong thời gian tới.
Thùy Chi (T/h)