Ngày càng có nhiều người tham gia "săn tìm" lỗ hổng trên web, thiết bị di động và IoT

Mối quan tâm đến các chương trình thưởng cho những người tìm ra các lỗ hổng bảo mật (bug bounty program) đang tăng lên khi làm việc từ xa trở nên phổ biến khiến tấn công mạng, khai thác lỗ hổng gia tăng.
10:48 AM 11/03/2021 In bài viết này

Ngày càng có nhiều người tham gia "săn" lỗi bảo mật

Số lượng tin tặc phát hiện ra các lỗ hổng bảo mật và gửi những phát hiện đến các chương trình trao thưởng cho những phát hiện lỗi bảo mật đã tăng gần 2/3 trong cả năm ngoái.

Ngày càng có nhiều tin tặc phát hiện ra các lỗ hổng trên web, thiết bị di động và IoT - Ảnh 1.

Báo cáo Hacker năm 2021 của nền tảng trao thưởng cho những phát hiện lỗi bảo mật HackerOne nêu chi tiết sự tiến triển của thử nghiệm thâm nhập, tấn công có đạo đức trong 12 tháng qua và cho biết số lượng tin tặc gửi báo cáo lỗ hổng bảo mật đã tăng 63% trong suốt thời gian này.

Mục tiêu của các chương trình trao thưởng là khuyến khích các tin tặc có đạo đức hay còn gọi là tin tặc mũ trắng phát hiện và tiết lộ các lỗ hổng này trước khi tội phạm mạng lợi dụng chúng. Chỉ trong năm ngoái, các tin tặc có đạo đức đã nhận được 40 triệu USD từ chương trình thưởng cho những báo cáo lỗi bảo mật HackerOne, tăng từ 19 triệu USD vào năm 2019.

Trong khi hầu hết những người "săn tìm" lỗ hổng tập trung vào các ứng dụng web, thì số người kiểm tra các lỗ hổng tiềm ẩn khác cũng đã tăng lên, với việc gửi các báo cáo lỗ hổng liên quan đến thiết bị Android, Internet vạn vật (IoT) và các API tăng cao.

Động lực mang tính tài chính thúc đẩy việc tìm ra các lỗ hổng có thể nói đóng vai trò lớn - 76% những người được khảo sát bởi HackerOne cho biết họ "săn" lỗ hổng để kiếm tiền - 85% cho biết họ tham gia để học hỏi, trong khi 2/3 người trả lời cho biết săn tìm lỗ hổng cho vui.

Đồng sáng lập HackerOne, Jobert Abma, người tin rằng khả năng của con người vẫn là cách tốt nhất để phát hiện các lỗ hổng bảo mật, cho biết: "Chúng ta đang chứng kiến sự gia tăng đáng kể số lần gửi báo cáo lỗ hổng bảo mật ở tất cả các hạng mục và sự gia tăng tin tặc chuyên về nhiều loại công nghệ khác nhau".

Cũng theo Jobert Abma, mỗi khi một tin tặc liên kết một số lỗ hổng có mức độ nghiêm trọng thấp với nhau để giúp khách hàng tránh bị một vụ việc xâm phạm hoặc tìm thấy một cách vượt qua bản vá phần mềm duy nhất, thì điều đó chứng tỏ rằng máy móc sẽ không bao giờ thực sự vượt được khả năng của con người.

Microsoft thưởng 50.000 USD cho phát hiện lỗ hổng xâm nhập tài khoản

Microsoft vừa thưởng 50.000 USD cho một nhà nghiên cứu đã tiết lộ lỗ hổng dẫn đến việc chiếm đoạt tài khoản của hãng này thông qua chương trình trao thưởng cho phát hiện lỗi.

Trong một bài đăng trên blog ngày 9/3, nhà nghiên cứu Laxman Muthiyah cho biết lỗ hổng bảo mật có thể "cho phép bất kỳ ai chiếm đoạt bất kỳ tài khoản Microsoft nào mà không cần sự đồng ý hoặc cho phép".

Tuy nhiên, theo một ý kiến trong một cuộc thảo luận liên quan đến báo cáo lỗ hổng này thì lỗ hổng có thể chỉ khả thi cho các tài khoản người dùng.

Nhà nghiên cứu Muthiyah trước đó đã tìm thấy một lỗi giới hạn tốc độ Instagram có thể dẫn đến việc chiếm tài khoản và áp dụng các thử nghiệm tương tự đối với các bảo vệ tài khoản của Microsoft.

Để đặt lại mật khẩu cho tài khoản Microsoft, công ty yêu cầu phải gửi địa chỉ email hoặc số điện thoại thông qua trang "Quên mật khẩu" (Forgotten Password). Sau đó, mã bảo mật gồm 7 chữ số sẽ được gửi như một phương thức xác minh và cần được cung cấp để tạo một mật khẩu mới.

Việc sử dụng một cuộc tấn công brute-force (hình thức tấn công cổ điển nhất là thử mật khẩu đúng sai) để lấy mã 7 chữ số sẽ dẫn đến việc đặt lại mật khẩu mà không có sự cho phép của chủ sở hữu tài khoản. Tuy nhiên, để ngăn chặn các cuộc tấn công này, các giới hạn tỷ lệ, mã hóa và kiểm tra được áp dụng.

Sau khi kiểm tra khả năng phòng thủ của Microsoft, Muthiyah đã có thể "tìm ra" mã hóa của Microsoft và "tự động hóa toàn bộ quá trình từ mã hóa mã đến việc gửi đi nhiều yêu cầu đồng thời".

Một thử nghiệm bao gồm 1000 lần thử mã được gửi đi nhưng chỉ có 122 lần được xử lý - trong khi các thử nghiệm khác dẫn đến lỗi và các yêu cầu khác từ tài khoản thử nghiệm đã bị chặn.

Tuy nhiên, bằng cách gửi các yêu cầu đồng thời, người săn lỗi bảo mật để nhận thưởng có thể phá vỡ cả mã hóa và cơ chế chặn - miễn là không có sự chậm trễ trong các yêu cầu, vì dù chỉ một vài "mili giây" là đủ để các yêu cầu được phát hiện và đưa vào danh sách đen, theo nhà nghiên cứu này.

Muthiyah đã điều chỉnh cuộc tấn công của mình bằng cách xử lý song song, gửi tất cả các yêu cầu cùng một lúc mà không có bất kỳ độ trễ nào và lấy được mã chính xác thành công.

Tuy nhiên, trong các tình huống thực tế, vectơ tấn công này không hề đơn giản. Để bỏ qua một mã 7 chữ số sẽ đòi hỏi khả năng tính toán lớn và nếu kết hợp với nhu cầu phá vỡ mã 2FA đi kèm - khi tính năng này được kích hoạt trên tài khoản Microsoft mục tiêu - thì điều này có thể cần tổng cộng hàng triệu yêu cầu.

Muthiyah đã báo cáo những phát hiện của mình và gửi cho Microsoft một video Proof-of-Concept (PoC) để làm bằng chứng. Nhà nghiên cứu chuyên săn lỗi bảo mật này cho biết gã khổng lồ công nghệ Microsoft đã "nhanh chóng thừa nhận vấn đề" và phát hành bản vá ngay sau đó.

Lỗ hổng bảo mật được Microsoft đánh giá có mức độ "quan trọng" - do mức độ phức tạp của việc kích hoạt khai thác thông qua lỗi - và được mô tả là "nâng cao đặc quyền (bao gồm bỏ qua xác thực đa yếu tố)", theo một email được Muthiyah chia sẻ.

Chương trình thưởng tiền cho những phát hiện lỗi đã trao 50.000 USD vào ngày 9/2 thông qua nền tảng tiền thưởng lỗi HackerOne, một đối tác chuyển thưởng của Microsoft. Microsoft đã treo thưởng từ 1.500 USD - 100.000 USD cho các báo cáo lỗi hợp lệ.

"Tôi muốn cảm ơn Dan, Jarek và toàn bộ Nhóm Trung tâm phản hồi bảo mật của Microsoft (MSRC) đã kiên nhẫn lắng nghe tất cả các ý kiến của tôi, thực hiện các bản cập nhật và vá lỗi này", Muthiyah đã cho hay. MSRC cũng đã cảm ơn nhà nghiên cứu về những phát hiện lỗi này.

Người phát ngôn của Microsoft trao đổi với ZDNet cho hay: "Vấn đề này đã được giải quyết vào tháng 12/2020 và khách hàng sẽ tự động được bảo vệ."

Trong một vụ việc khác liên quan đến phát hiện lỗi bảo mật qua chương trình trao thưởng, hồi cuối tháng 2 vừa qua, một người tên là Vishal Bharad tuyên bố đã phát hiện ra lỗ hổng bảo mật XSS (cross-site scripting) được lưu trữ trong icloud.com. XSS là một lỗ hổng phổ biến trong ứng dụng web.

Các lỗ hổng XSS được lưu trữ, còn được gọi là persistent XSS (kiểu tấn công mà mã độc được lưu trong cơ sở dữ liệu trên server, hiển thị ra với toàn bộ người dùng), có thể được sử dụng để lưu trữ tải trọng trên máy chủ mục tiêu, đưa các tập lệnh độc hại vào các trang web và có khả năng được sử dụng để ăn cắp cookie, mã thông báo phiên và dữ liệu trình duyệt.

Theo Bharad, lỗ hổng XSS trong icloud.com được tìm thấy trong các tính năng của Page/Keynotes của miền iCloud của Apple.

Nhà nghiên cứu đã tiết lộ lỗi này cho Apple từ hồi tháng 8/2020. Báo cáo đã được chấp nhận và Bharad nhận được phần thưởng tài chính 5000 USD cho những nỗ lực của mình sau đó.

Các chương trình trao thưởng cho việc phát hiện các lỗi bảo mật như các chương trình được HackerOne, Bugcrowd hay của chính các hãng công nghệ triển khai, vẫn là một phương thức phổ biến cho các nhà nghiên cứu bên ngoài báo cáo các vấn đề bảo mật cho các nhà cung cấp công nghệ. Chỉ trong năm 2020, Google đã trả cho người báo cáo lỗi bảo mật 6,7 triệu USD cho các báo cáo của họ.

Hoàng Linh (zdnet)
Xem thêm