Pwn2Own Berlin 2026: Windows 11, Edge và nền tảng AI bị khai thác 24 lỗ hổng zero‑day ngay ngày đầu

Kết quả:

• Phần thưởng: 175.000 USD
• 17,5 điểm Master of Pwn

Sandbox của trình duyệt vốn được thiết kế để cô lập nội dung web với hệ điều hành. Khi thoát được khỏi sandbox, kẻ tấn công có thể tiến từ một trang web độc hại sang quyền truy cập sâu hơn vào hệ thống máy tính.

Windows 11 bị khai thác ba lần

Hệ điều hành Windows 11 cũng trở thành mục tiêu lớn trong ngày thi đầu tiên. Ba nhóm nghiên cứu khác nhau đã chứng minh các lỗ hổng leo thang đặc quyền (privilege escalation) hoàn toàn mới.

Các trường hợp thành công gồm:

• Angelboy và TwinkleStar03 (DEVCORE Internship Program) — leo thang đặc quyền Windows 11, 30.000 USD.
• Marcin Wiązowski — leo thang đặc quyền Windows 11, 30.000 USD.
• Kentaro Kawane (GMO Cybersecurity) — leo thang đặc quyền Windows 11, 30.000 USD.

Loại lỗ hổng này cho phép kẻ tấn công từ quyền truy cập hạn chế nâng lên quyền quản trị (administrator) hoặc SYSTEM, mở đường cho việc kiểm soát toàn bộ máy tính.

Tổng kết ngày thi đầu tiên

Theo thống kê từ ban tổ chức:

• 24 lỗ hổng zero‑day độc nhất đã được trình diễn.
• 22 bài khai thác nhắm vào các phần mềm phổ biến.
• Tổng tiền thưởng 523.000 USD được trao cho các nhà nghiên cứu.

Các mục tiêu trải dài từ hệ điều hành, trình duyệt, nền tảng AI, công cụ lập trình đến hạ tầng phần mềm, phản ánh mức độ phức tạp ngày càng tăng của hệ sinh thái công nghệ doanh nghiệp.

Song song: Microsoft cảnh báo zero‑day Exchange Server ngoài thực tế

Trong khi Pwn2Own diễn ra trong môi trường thử nghiệm có kiểm soát, Microsoft cũng công bố một lỗ hổng zero‑day riêng biệt đang bị khai thác ngoài thực tế.

Lỗ hổng này được theo dõi với mã CVE‑2026‑42897 và ảnh hưởng đến Microsoft Exchange Server cài đặt tại chỗ (on‑premises).

Các chi tiết chính:

• Ảnh hưởng đến Exchange Server 2016, 2019 và Subscription Edition.
• Là lỗi cross‑site scripting (XSS) do xử lý đầu vào không đúng khi tạo trang web.
• Có thể bị khai thác từ xa thông qua nội dung độc hại trong Outlook on the web.
• Microsoft xác nhận đã có khai thác trong thực tế.

Dù hai sự kiện diễn ra gần thời điểm nhau, không có bằng chứng cho thấy CVE‑2026‑42897 chính là lỗ hổng được trình diễn tại Pwn2Own.

Sau Pwn2Own: điều gì xảy ra với các lỗ hổng?

Các lỗ hổng được trình diễn tại Pwn2Own không được công khai ngay lập tức.

Quy trình thường diễn ra như sau:

1. Chi tiết kỹ thuật được báo riêng cho nhà cung cấp phần mềm.
2. Nhà cung cấp có khoảng 90 ngày để phát triển và phát hành bản vá.
3. Thông tin chi tiết chỉ được công bố sau khi bản vá sẵn sàng.

Quy trình tiết lộ có trách nhiệm này giúp các công ty vá lỗ hổng trước khi thông tin kỹ thuật có thể bị kẻ tấn công lợi dụng.

Vì sao kết quả này đáng chú ý

Kết quả ngày đầu Pwn2Own Berlin 2026 phản ánh hai thực tế quan trọng trong an ninh mạng:

• Ngay cả các nền tảng trưởng thành như Windows 11 và Microsoft Edge vẫn có thể chứa các lỗ hổng nghiêm trọng khi được phân tích sâu.
• Đồng thời, các cuộc tấn công ngoài đời thực vẫn đang khai thác zero‑day, như trường hợp Exchange Server.

Những cuộc thi như Pwn2Own giúp chuyển các phát hiện này sang môi trường có kiểm soát — nơi các nhà nghiên cứu được thưởng, còn nhà cung cấp có thời gian vá lỗi trước khi tội phạm mạng kịp tận dụng chúng.