Chán với sự keo kiệt của Microsoft – các nhà nghiên cứu bảo mật công khai luôn lỗ hổng Zero-day của Windows
Câu chuyện bắt đầu từ việc một nhà nghiên cứ bảo mật phát hiện ra một lỗ hổng zero-day mới trên Windows. Lỗ hổng này có thể giúp leo thang độc quyền nội bộ, giúp hacker chiếm quyền admin trên Windows 10, Windows 11 và Windows Server.
Abdelhamid Naceri là nhà nghiên cứu phát hiện ra lỗ hổng nói trên. Hiện nó được gán mã theo dõi CVE-2021-41379 và đã được Microsoft vá trong bản cập nhật Patch Tuesday tháng 11.
Tuy nhiên, không bao lâu sau, Naceri lại tìm ra cách để vượt qua bản vá của Microsoft khai sinh ra một lỗ hổng zero-day leo thang đặc quyền khác nguy hiểm hơn. Điều đáng nói là lần này Naceri không báo cáo cho Microsoft nữa mà công khai luôn phương thức khai thác lỗ hổng trên GitHub. Phương thức khai thác này có thể hoạt động trên tất cả các phiên bản Windows.
Tại sao Naceri không báo cáo lỗi cho Microsoft?
Theo chia sẻ của Naceri, anh không báo cáo lỗi cho Microsoft vì thất vọng với cách làm việc của họ. Đầu tiên, Microsoft đã giảm mức thưởng của chương trình săn lỗi nhận thưởng xuống quá thấp.
“Chương trình săn lỗi nhận thưởng của Microsoft biến thành bãi rác từ tháng 4/2020. Tôi sẽ không công khai phương thức khai thác nếu Microsoft không giảm mức tiền thưởng”, Naceri chia sẻ.
Thực tế, Naceri không đơn độc. Nhiều nhà nghiên cứu bảo mật đã tỏ ra thất vọng với cách làm việc của gã khổng lồ phần mềm.
“Theo chương trình săn lỗi nhận thưởng mới của Microsoft, một trong những lỗ hổng zero-day mà tôi phát hiện ra bị giảm giá trị từ 10.000 USD xuống chỉ còn 1.000”, nhà nghiên cứu đứng sau tài khoản MalwareTech chia sẻ.
Một nhà nghiên cứu khác cũng lên tiếng phản đối khi lỗ hổng thực thi mã từ xa Hyper-V có thể được khai thác bởi tài khoản khách mà chỉ nhận được 5.000 USD tiền thưởng.
Về lỗ hổng mới, Naceri khuyên mọi người nên chờ bản vá từ Microsoft. Naceri cảnh báo người dùng không nên tự sửa lỗ hổng bằng cách vá các lỗi nhị phân vì nó có thể phá vỡ trình cài đặt.
Lương Thuận – Tổng hợp từ 7Zone
ĐĂNG KÝ TƯ VẤN HỌC LẬP TRÌNH TẠI FUNiX
Bài liên quan
Đào tạo AI nội bộ cho doanh nghiệp: Bắt đầu từ kỹ năng nào?
Doanh nghiệp nên bắt đầu đào tạo AI nội bộ từ đâu? Đào tạo AI nội bộ cho doanh nghiệp thường nên bắt đầu từ các kỹ năng AI ứng dụng thực tế như sử dụng AI chatbot, phân...
Mô hình FUNiX Way trong đào tạo nhân sự 4.0: Khác gì cách học truyền thống?
Mô hình FUNiX Way là gì? Mô hình FUNiX Way là phương pháp đào tạo trực tuyến kết hợp mentor hỗ trợ 1–1, học theo lộ trình linh hoạt và tập trung vào kỹ năng thực hành trong môi...
App Inventor và Robotics: Tự thiết kế ứng dụng điều khiển Robot trên điện thoại
App Inventor Robotics là gì? App Inventor Robotics là mô hình học kết hợp giữa lập trình ứng dụng di động và điều khiển robot thông qua điện thoại thông minh. Học sinh có thể sử dụng MIT App...
Lộ trình học lập trình Robot cho học sinh từ lớp 6 đến lớp 12
Học lập trình robot nên bắt đầu từ đâu? Học lập trình robot thường bắt đầu từ kiến thức STEM cơ bản như logic, cảm biến và điều khiển robot. Với học sinh từ lớp 6 đến...
Robotics là gì? Tại sao học sinh cần học Robotics từ sớm trong năm 2026?
Robotics là gì và vì sao ngày càng quan trọng trong giáo dục? Robotics là lĩnh vực kết hợp giữa lập trình, cơ khí, điện tử và trí tuệ nhân tạo để thiết kế và điều khiển robot. Trong...
Review khóa học Fintech FUNiX: Đào tạo thực chiến 7 tháng cho người mới
Khóa học Fintech FUNiX có phù hợp cho người mới không? Khóa học Fintech FUNiX được thiết kế cho người mới bắt đầu muốn tìm hiểu về tài chính số, ngân hàng số và công nghệ Fintech. Chương trình...
Ứng dụng GenAI trong phân tích dữ liệu và vận hành Fintech
AI trong Fintech được ứng dụng như thế nào? AI trong Fintech được sử dụng để phân tích dữ liệu tài chính, tự động hóa quy trình vận hành và hỗ trợ ra quyết định theo thời gian thực....
Quản trị rủi ro Fintech: Cách AI bảo vệ dòng tiền và ngăn chặn gian lận
Quản trị rủi ro Fintech là gì? Quản trị rủi ro Fintech là quá trình sử dụng công nghệ để phát hiện, kiểm soát và giảm thiểu các rủi ro tài chính trong hệ sinh thái số. Các công...
Đăng ký nhận bản tin
×
×
Bình luận (0
)