Pwn2Own Berlin 2026 tiếp tục ghi nhận nhiều lỗ hổng zero-day và chuỗi khai thác có tác động cao trong ngày thứ hai, với trọng tâm là phần mềm doanh nghiệp, công cụ AI và hệ điều hành. Các kết quả công bố cho thấy bề mặt tấn công đang mở rộng nhanh trong các môi trường hiện đại.
Pwn2Own Berlin 2026 và xu hướng lỗ hổng CVE
Ngày thứ hai của sự kiện mang về thêm $385,750 cho 15 lỗ hổng zero-day mới, nâng tổng tiền thưởng lên $908,750 và 39 lỗi duy nhất được phát hiện cho đến thời điểm hiện tại. Đây là chỉ dấu rõ ràng về mức độ nghiêm trọng của các lỗ hổng CVE trong các nền tảng được sử dụng rộng rãi.
Nhóm nghiên cứu trình diễn các kịch bản tấn công thực tế trên Microsoft Exchange, Windows 11 và các nền tảng lập trình AI. Tham chiếu chi tiết về sự kiện có thể xem tại Zero Day Initiative.
Chuỗi khai thác remote code execution trên Microsoft Exchange
Phát hiện đáng chú ý nhất trong ngày đến từ Orange Tsai của DEVCORE, khi anh này kết hợp ba lỗ hổng CVE để đạt được remote code execution với đặc quyền SYSTEM trên Microsoft Exchange. Chuỗi khai thác đầy đủ này nhận $200,000 và 20 Master of Pwn points, trở thành exploit có giá trị cao nhất của sự kiện cho đến nay.
Kiểu tấn công này đặc biệt nguy hiểm vì máy chủ Exchange thường nằm ở trung tâm hạ tầng liên lạc của doanh nghiệp. Khi bị chiếm quyền thực thi mã từ xa, kẻ tấn công có thể kiểm soát hoàn toàn hạ tầng email, mở đường cho do thám, di chuyển ngang và đánh cắp dữ liệu.
Trong tình huống thực tế, một máy chủ Exchange bị khai thác có thể bị dùng để truy cập âm thầm vào email nội bộ, triển khai mã độc hoặc giả mạo lãnh đạo trong các chiến dịch lừa đảo. Đây là ví dụ điển hình cho việc một lỗ hổng CVE có thể dẫn đến hệ thống bị xâm nhập ở cấp độ hạ tầng.
Lỗ hổng CVE trên Windows 11 và Linux
Ở lớp hệ điều hành, Siyeon Wi đã khai thác thành công một lỗi integer overflow trong Windows 11 để nâng quyền truy cập, thu về $7,500. Mặc dù giá trị tiền thưởng thấp hơn, các lỗi dạng này vẫn rất quan trọng vì chúng có thể biến quyền truy cập hạn chế thành chiếm quyền điều khiển toàn hệ thống.
Trên Linux, Ben Koo của Team DDOS khai thác lỗi use-after-free trên Red Hat Enterprise Linux để nâng quyền. Sự kiện này cho thấy các vấn đề an toàn bộ nhớ vẫn tiếp tục là điểm yếu cốt lõi trên các hệ thống nền tảng.
Trong bối cảnh lỗ hổng CVE, các lỗi kiểu overflow và use-after-free thường được theo dõi sát vì chúng có thể tạo điều kiện cho leo thang đặc quyền, vượt qua cơ chế cô lập tiến trình và dẫn tới chiếm quyền root hoặc SYSTEM.
AI và công cụ cho lập trình trở thành mục tiêu của lỗ hổng CVE
Các công cụ AI và nền tảng dành cho nhà phát triển tiếp tục được xem là mục tiêu giá trị cao. Lý do là chúng thường có quyền truy cập vào mã nguồn, luồng làm việc của lập trình viên và các thành phần tự động hóa liên quan đến triển khai.
Xu hướng này cho thấy một lỗ hổng CVE trong môi trường AI không chỉ ảnh hưởng đến ứng dụng đơn lẻ mà còn có thể tác động tới toàn bộ chuỗi phát triển phần mềm. Với quyền truy cập phù hợp, kẻ tấn công có thể lợi dụng môi trường này để mở rộng phạm vi xâm nhập.
Những thử nghiệm không thành công
Không phải mọi nỗ lực đều thành công. Các exploit nhắm vào Apple Safari, Microsoft SharePoint và Mozilla Firefox đều thất bại khi thực thi, cho thấy việc khai thác đáng tin cậy ngày càng khó hơn ngay cả khi lỗ hổng CVE đã được biết đến.
Một số bài thi cũng rơi vào trạng thái “collision”, tức là nhà nghiên cứu trình diễn exploit từ các lỗi đã được phát hiện trước đó. Dù vẫn được tính điểm, các trường hợp này phản ánh mức độ chồng lấp nghiên cứu trong cộng đồng bảo mật.
IOC và dấu hiệu cần theo dõi
Nội dung được công bố không cung cấp IOC ở dạng hash, domain, IP hay mẫu mã độc cụ thể. Tuy nhiên, các dấu hiệu kỹ thuật có thể rút ra từ bối cảnh của lỗ hổng CVE gồm:
- Microsoft Exchange bị thực thi mã từ xa với quyền SYSTEM.
- Windows 11 bị khai thác qua lỗi integer overflow.
- Red Hat Enterprise Linux bị leo thang đặc quyền thông qua use-after-free.
- Các mục tiêu như Safari, SharePoint và Firefox có exploit thất bại hoặc collision.
Tác động hệ thống từ lỗ hổng CVE
Những kết quả tại Pwn2Own Berlin 2026 cho thấy một lỗ hổng CVE có thể tạo ra tác động trực tiếp lên hạ tầng sản xuất nếu bị khai thác ngoài môi trường kiểm thử. Với máy chủ email, rủi ro bao gồm truy cập trái phép, gián đoạn dịch vụ và rò rỉ nội dung trao đổi nội bộ.
Với hệ điều hành, việc leo thang đặc quyền có thể dẫn đến thay đổi cấu hình, chèn tiến trình độc hại hoặc vô hiệu hóa kiểm soát bảo vệ. Trong chuỗi tấn công phức tạp, một lỗi ban đầu nhỏ có thể trở thành bước đệm để chiếm toàn bộ phiên làm việc.
Đối với các nền tảng AI và công cụ phát triển, rủi ro an toàn thông tin tăng mạnh do dữ liệu mã nguồn, token, pipeline và thông tin truy cập thường được tích hợp sâu trong quy trình làm việc.
Theo dõi bản vá và đánh giá rủi ro bảo mật
Các nhà cung cấp như Microsoft, Red Hat và các nhà cung cấp nền tảng AI sẽ cần phát hành bản vá bảo mật cho những điểm yếu vừa được trình diễn. Trong giai đoạn trước khi vá, quản trị viên nên ưu tiên đánh giá mức độ phơi nhiễm của dịch vụ, đặc biệt với hệ thống email và máy trạm phát triển.
Tham chiếu thêm thông tin về phân loại và theo dõi lỗ hổng CVE có thể xem trên NVD của NIST. Việc đối chiếu dữ liệu từ NVD giúp xác định mức độ ảnh hưởng, vector tấn công và trạng thái cập nhật bản vá.
Với các môi trường có Exchange, Windows 11 hoặc Red Hat Enterprise Linux, việc theo dõi lỗ hổng CVE và triển khai update vá lỗi cần được ưu tiên theo mức độ ảnh hưởng thực tế của từng hệ thống.
Diễn biến cạnh tranh và áp lực vá lỗi
Với 40.5 điểm và $405,000, DEVCORE đang dẫn đầu bảng xếp hạng, nhưng cuộc đua vẫn chưa kết thúc. Khi còn một ngày thi, các lỗ hổng CVE mới dự kiến tiếp tục xuất hiện, tạo áp lực lớn lên quy trình phản ứng của nhà cung cấp.
Sự kiện này tiếp tục cho thấy khả năng kết hợp nhiều lỗi nhỏ thành một chuỗi tấn công hoàn chỉnh. Trong thực tế phòng thủ, mỗi lỗ hổng CVE cần được đánh giá không chỉ theo mức điểm riêng lẻ mà còn theo khả năng bị ghép nối với các điểm yếu khác để tạo ra remote code execution hoặc leo thang đặc quyền.
