Chán với sự keo kiệt của Microsoft – các nhà nghiên cứu bảo mật công khai luôn lỗ hổng Zero-day của Windows
Câu chuyện bắt đầu từ việc một nhà nghiên cứ bảo mật phát hiện ra một lỗ hổng zero-day mới trên Windows. Lỗ hổng này có thể giúp leo thang độc quyền nội bộ, giúp hacker chiếm quyền admin trên Windows 10, Windows 11 và Windows Server.
Abdelhamid Naceri là nhà nghiên cứu phát hiện ra lỗ hổng nói trên. Hiện nó được gán mã theo dõi CVE-2021-41379 và đã được Microsoft vá trong bản cập nhật Patch Tuesday tháng 11.
Tuy nhiên, không bao lâu sau, Naceri lại tìm ra cách để vượt qua bản vá của Microsoft khai sinh ra một lỗ hổng zero-day leo thang đặc quyền khác nguy hiểm hơn. Điều đáng nói là lần này Naceri không báo cáo cho Microsoft nữa mà công khai luôn phương thức khai thác lỗ hổng trên GitHub. Phương thức khai thác này có thể hoạt động trên tất cả các phiên bản Windows.
Tại sao Naceri không báo cáo lỗi cho Microsoft?
Theo chia sẻ của Naceri, anh không báo cáo lỗi cho Microsoft vì thất vọng với cách làm việc của họ. Đầu tiên, Microsoft đã giảm mức thưởng của chương trình săn lỗi nhận thưởng xuống quá thấp.
“Chương trình săn lỗi nhận thưởng của Microsoft biến thành bãi rác từ tháng 4/2020. Tôi sẽ không công khai phương thức khai thác nếu Microsoft không giảm mức tiền thưởng”, Naceri chia sẻ.
Thực tế, Naceri không đơn độc. Nhiều nhà nghiên cứu bảo mật đã tỏ ra thất vọng với cách làm việc của gã khổng lồ phần mềm.
“Theo chương trình săn lỗi nhận thưởng mới của Microsoft, một trong những lỗ hổng zero-day mà tôi phát hiện ra bị giảm giá trị từ 10.000 USD xuống chỉ còn 1.000”, nhà nghiên cứu đứng sau tài khoản MalwareTech chia sẻ.
Một nhà nghiên cứu khác cũng lên tiếng phản đối khi lỗ hổng thực thi mã từ xa Hyper-V có thể được khai thác bởi tài khoản khách mà chỉ nhận được 5.000 USD tiền thưởng.
Về lỗ hổng mới, Naceri khuyên mọi người nên chờ bản vá từ Microsoft. Naceri cảnh báo người dùng không nên tự sửa lỗ hổng bằng cách vá các lỗi nhị phân vì nó có thể phá vỡ trình cài đặt.
Lương Thuận – Tổng hợp từ 7Zone
ĐĂNG KÝ TƯ VẤN HỌC LẬP TRÌNH TẠI FUNiX
Bài liên quan
Review khóa học Robotics FUNiX: Lộ trình 7 chặng chuẩn quốc tế
Khóa học Robotics FUNiX có phù hợp cho người mới bắt đầu không? Khóa học Robotics FUNiX được thiết kế theo lộ trình 7 chặng từ cơ bản đến nâng cao, phù hợp với học sinh và người mới bắt...
Product Owner Fintech: Bí quyết thiết kế sản phẩm tài chính "không ma sát"
Mục lục Product Owner Fintech là gì? Vai trò của Product Owner trong Fintech Sản phẩm tài chính “không ma sát” là gì? Quy trình thiết kế sản phẩm fintech Công nghệ cốt lõi PO Fintech cần hiểu Agile trong...
Leanbot là gì? Bộ kit robot giáo dục chuẩn STEM cho thế hệ mới
Leanbot là gì? Bộ kit robot giáo dục chuẩn STEM cho thế hệ mới Leanbot là công cụ hỗ trợ học sinh làm chủ tư duy lập trình và robotics. Bài viết tổng hợp thông tin chi tiết về...
AIROC - Đấu trường Robotics & AI quốc tế: Nơi thế hệ trẻ Việt Nam vươn tầm thế giới
Trong kỷ nguyên số, nếu tiếng Anh là chiếc chìa khóa để giao tiếp với thế giới, thì Lập trình và AI chính là ngôn ngữ để con kiến tạo nên tương lai. Không chỉ dừng lại ở việc ‘biết’...
Học lập trình Python qua Robotics: Từ tư duy code đến Trí tuệ nhân tạo
Mục lục Python Robotics là gì? Vì sao nên học lập trình Python qua Robotics? Thành phần và thuộc tính trong hệ thống Robotics Các kỹ năng Python nâng cao trong Robotics Ứng dụng trí tuệ nhân tạo trong Robotics...
Nhân viên ngân hàng chuyển sang Fintech: Cần trang bị kỹ năng gì?
Mục lục Nhân viên ngân hàng chuyển sang Fintech cần học gì? Vì sao nhiều banker chuyển sang Fintech? Các kỹ năng quan trọng khi chuyển sang Fintech Lộ trình chuyển nghề từ ngân hàng sang Fintech Các vị trí...
Fintech là gì? Toàn cảnh hệ sinh thái Fintech tại Việt Nam 2026
Nội dung chính (TOC) Tổng quan định nghĩa Các mô hình Fintech cốt lõi và thuộc tính Hệ sinh thái Fintech và Chuyển đổi số ngân hàng Xu hướng Fintech 2026 (Dự báo tác động) Bằng chứng áp dụng thực...
Tại sao Data Analyst là “trái tim” của mọi ứng dụng Fintech?
Mục lục Fintech Data Analyst là gì? Vai trò của Data Analyst trong hệ sinh thái Fintech Các kỹ năng cốt lõi của Fintech Data Analyst Entity và Attribute trong phân tích dữ liệu Fintech Các ứng dụng thực tế...
Đăng ký nhận bản tin
×
×
Bình luận (0
)