Chán với sự keo kiệt của Microsoft – các nhà nghiên cứu bảo mật công khai luôn lỗ hổng Zero-day của Windows
Câu chuyện bắt đầu từ việc một nhà nghiên cứ bảo mật phát hiện ra một lỗ hổng zero-day mới trên Windows. Lỗ hổng này có thể giúp leo thang độc quyền nội bộ, giúp hacker chiếm quyền admin trên Windows 10, Windows 11 và Windows Server.
Abdelhamid Naceri là nhà nghiên cứu phát hiện ra lỗ hổng nói trên. Hiện nó được gán mã theo dõi CVE-2021-41379 và đã được Microsoft vá trong bản cập nhật Patch Tuesday tháng 11.
Tuy nhiên, không bao lâu sau, Naceri lại tìm ra cách để vượt qua bản vá của Microsoft khai sinh ra một lỗ hổng zero-day leo thang đặc quyền khác nguy hiểm hơn. Điều đáng nói là lần này Naceri không báo cáo cho Microsoft nữa mà công khai luôn phương thức khai thác lỗ hổng trên GitHub. Phương thức khai thác này có thể hoạt động trên tất cả các phiên bản Windows.
Tại sao Naceri không báo cáo lỗi cho Microsoft?
Theo chia sẻ của Naceri, anh không báo cáo lỗi cho Microsoft vì thất vọng với cách làm việc của họ. Đầu tiên, Microsoft đã giảm mức thưởng của chương trình săn lỗi nhận thưởng xuống quá thấp.
“Chương trình săn lỗi nhận thưởng của Microsoft biến thành bãi rác từ tháng 4/2020. Tôi sẽ không công khai phương thức khai thác nếu Microsoft không giảm mức tiền thưởng”, Naceri chia sẻ.
Thực tế, Naceri không đơn độc. Nhiều nhà nghiên cứu bảo mật đã tỏ ra thất vọng với cách làm việc của gã khổng lồ phần mềm.
“Theo chương trình săn lỗi nhận thưởng mới của Microsoft, một trong những lỗ hổng zero-day mà tôi phát hiện ra bị giảm giá trị từ 10.000 USD xuống chỉ còn 1.000”, nhà nghiên cứu đứng sau tài khoản MalwareTech chia sẻ.
Một nhà nghiên cứu khác cũng lên tiếng phản đối khi lỗ hổng thực thi mã từ xa Hyper-V có thể được khai thác bởi tài khoản khách mà chỉ nhận được 5.000 USD tiền thưởng.
Về lỗ hổng mới, Naceri khuyên mọi người nên chờ bản vá từ Microsoft. Naceri cảnh báo người dùng không nên tự sửa lỗ hổng bằng cách vá các lỗi nhị phân vì nó có thể phá vỡ trình cài đặt.
Lương Thuận – Tổng hợp từ 7Zone
ĐĂNG KÝ TƯ VẤN HỌC LẬP TRÌNH TẠI FUNiX
Bài liên quan
Khóa học Data Science tại FUNiX: Lộ trình, kỹ năng và dự án thực tế
Khóa học Data Science tại FUNiX giúp người đi làm học từ con số 0, lộ trình bài bản, dự án thực tế và cơ hội chuyển nghề sang Data Scientist. Mục lục Vì sao Data Science là hướng chuyển...
Khóa học Business Analysis tại FUNiX: Lộ trình, kỹ năng và dự án thực tế
Mục lục Vì sao Business Analysis là lựa chọn chuyển nghề tiềm năng cho người đi làm? Khóa học Business Analysis là gì? Vai trò của Business Analyst Lợi ích khi tham gia khóa học Business Analysis tại FUNiX Yêu...
Đừng chờ đến khi thất nghiệp mới học kỹ năng mới - Báo động từ thị trường lao động 2025
Cuối năm là lúc các hội nhóm trở nên dày đặc bài đăng kiểu: “Mình mới nhận quyết định sa thải, giờ nên học gì để ổn định lại?”, “Thất nghiệp 3–6 tháng rồi, học Data Analytics có ổn không?”,...
Khóa học Software Engineering cho Người đi làm tại FUNiX
Mục lục Vì sao người đi làm lựa chọn Software Engineering để chuyển nghề sang IT? Phương pháp học tại FUNiX dành riêng cho người đi làm Yêu cầu đầu vào và ai phù hợp với khóa học? Lộ trình...
Khóa học Software Engineering cho học sinh tại FUNiX
Khóa học lập trình cho học sinh tại FUNiX giúp xây nền tảng công nghệ sớm, lộ trình bài bản, học online linh hoạt và mở rộng cơ hội nghề nghiệp. Mục lục Vì sao nên học khóa Software Engineering...
Khóa học Software Engineering cho Học sinh tại FUNiX: Lộ trình, kỹ năng & cơ hội nghề nghiệp
Khóa học Software Engineering cho học sinh tại FUNiX cung cấp một lộ trình toàn diện từ nền tảng lập trình cơ bản đến kỹ năng phần mềm chuyên sâu. Học sinh cấp 3 sẽ tiếp cận với các môn...
Khóa học Web Full-Stack tại FUNiX: Lộ trình, kỹ năng & cơ hội nghề nghiệp
Lập trình web là một trong những kỹ năng được săn đón nhất trong kỷ nguyên số. Dù ở doanh nghiệp lớn, startup hay làm việc tự do, khả năng xây dựng website và ứng dụng web sẽ giúp bạn...
Khóa học Tester tại FUNiX: Lộ trình, kỹ năng & cơ hội nghề nghiệp
Khóa học Tester tại FUNiX cung cấp nền tảng toàn diện cho người mới bắt đầu muốn bước chân vào lĩnh vực kiểm thử phần mềm. Trong 20 tuần, học viên sẽ nắm vững từ kỹ năng viết test case,...
Đăng ký nhận bản tin
×
×
Bình luận (0
)