Google đã trao khoản tiền thưởng bug bounty kỷ lục 250.000 USD cho nhà nghiên cứu bảo mật Micky nhờ phát hiện một lỗ hổng remote code execution nghiêm trọng trong Google Chrome. Lỗ hổng này có thể cho phép kẻ tấn công vượt qua cơ chế bảo vệ sandbox của trình duyệt, dẫn đến nguy cơ chiếm quyền điều khiển hệ thống nạn nhân.
Lỗ hổng này, được theo dõi nội bộ với mã số 412578726, được đánh giá là một trong những điểm yếu Chrome nghiêm trọng nhất được phát hiện trong những năm gần đây. Nó tiếp tục nhấn mạnh những thách thức bảo mật liên tục mà các trình duyệt web hiện đại đang phải đối mặt.
Phân tích Kỹ thuật Lỗ hổng Remote Code Execution trong Chrome
Vấn đề cốt lõi của lỗ hổng bắt nguồn từ một khiếm khuyết trong hệ thống ipcz (Inter-Process Communication Zone) của Chrome, đặc biệt là trong hàm Transport::Deserialize. Hệ thống ipcz là một thành phần kiến trúc quan trọng, được thiết kế để quản lý giao tiếp an toàn giữa các tiến trình được cô lập bên trong trình duyệt.
Lỗi này cho phép một tiến trình trình duyệt độc hại (renderer process) nhân bản (duplicate) các xử lý (handles) của tiến trình trình duyệt chính (browser process) có đặc quyền. Điều này hiệu quả là phá vỡ mô hình bảo mật sandbox được thiết kế tỉ mỉ của Chrome.
Mô hình sandbox đóng vai trò là một tính năng bảo mật then chốt, cô lập nội dung web khỏi hệ điều hành bên dưới. Mục tiêu chính là ngăn chặn các trang web độc hại truy cập vào tài nguyên hệ thống nhạy cảm hoặc thực hiện các hành động trái phép.
Cơ chế khai thác trong Transport::Deserialize
Theo chi tiết kỹ thuật được nhà nghiên cứu cung cấp trên nền tảng báo cáo lỗi của Chromium, lỗ hổng xảy ra khi hàm Transport::Deserialize tạo ra các đối tượng vận chuyển (transport objects) mà không thực hiện xác thực đầy đủ đối với trường header.destination_type.
Một tiến trình renderer độc hại có thể lợi dụng sơ hở này bằng cách truyền giá trị “kbroker” làm header.destination_type khi gửi yêu cầu đến tiến trình trình duyệt. Sự thao túng này đánh lừa trình duyệt tin rằng tiến trình renderer đang giả mạo là một tiến trình môi giới (broker process) có đặc quyền.
Kết quả là, tiến trình renderer độc hại được cấp quyền truy cập trái phép để nhân bản các xử lý tiến trình trình duyệt nhạy cảm, làm suy yếu nghiêm trọng sự phân tách đặc quyền.
Quy trình Khai thác Lỗ hổng Sandbox Escape
Quá trình khai thác lỗ hổng này bao gồm nhiều bước phức tạp, thể hiện sự tinh vi trong nghiên cứu bảo mật trình duyệt hiện đại. Các bước chính bao gồm:
- Bước 1: Khởi tạo kết nối. Tiến trình renderer gửi một yêu cầu
RequestIntroductionđến broker bằng cách sử dụng tên nút của chính nó, từ đó thu được hai kênh vận chuyển (transport channels). - Bước 2: Gửi yêu cầu ReferNonBroker. Kẻ tấn công sau đó gửi yêu cầu
ReferNonBrokervới thông tin tiêu đề đã được sửa đổi. - Bước 3: Thu thập xử lý đặc quyền. Tiếp theo là các yêu cầu
connectvàRelayMessageđược thiết kế đặc biệt để trích xuất các giá trị xử lý đặc quyền từ tiến trình trình duyệt. Nhà nghiên cứu đã phát hiện ra rằng bằng cách gửi nhiều yêu cầuRelayMessagevới các giá trị xử lý từ 4 đến 1000, kẻ tấn công có thể truy xuất tất cả các xử lý tương ứng từ tiến trình trình duyệt. - Bước 4: Vượt qua Sandbox. Khi đã có được, các xử lý đặc quyền này, đặc biệt là các xử lý luồng (thread handles), cung cấp con đường trực tiếp để thoát hoàn toàn khỏi sandbox. Điều này tiềm ẩn nguy cơ cho phép thực thi mã tùy ý với đặc quyền nâng cao trên hệ thống nạn nhân, dẫn đến việc chiếm quyền điều khiển hoàn toàn.
Tác động và So sánh với Lỗ hổng tương tự
Lỗ hổng này mang những điểm tương đồng với CVE-2025-2783, một lỗ hổng được báo cáo trước đó bởi các nhà nghiên cứu từ Kaspersky. Tuy nhiên, phương pháp khai thác lỗ hổng hiện tại phức tạp hơn đáng kể, đòi hỏi sự hiểu biết sâu sắc hơn về kiến trúc nội bộ của Chrome.
Sự phức tạp trong khai thác của nó càng nhấn mạnh tính nghiêm trọng. Một cuộc tấn công thành công có thể cho phép một trang web độc hại thực thi mã tùy ý trực tiếp trên hệ thống của người dùng, phá vỡ mọi lớp bảo vệ của trình duyệt. Điều này đặc biệt đáng lo ngại đối với an ninh mạng, vì nó biến trình duyệt từ một cửa sổ an toàn thành internet thành một điểm xâm nhập tiềm tàng.
Giá trị Phần thưởng Bug Bounty và Ý nghĩa Phát hiện Lỗ hổng
Khoản tiền thưởng 250.000 USD được trao cho nhà nghiên cứu Micky không chỉ phản ánh mức độ nghiêm trọng cực đoan của lỗ hổng mà còn thể hiện cam kết mạnh mẽ của Google trong việc khuyến khích nghiên cứu bảo mật.
Khoản thanh toán này có khả năng là một trong những phần thưởng bug bounty cá nhân cao nhất trong lịch sử Chrome, càng nhấn mạnh tính chất quan trọng của các lỗ hổng sandbox escape. Việc tìm ra những lỗ hổng như vậy đòi hỏi kỹ năng chuyên môn cao và sự kiên trì.
Việc phát hiện và tiết lộ có trách nhiệm các lỗ hổng thông qua các chương trình bug bounty vẫn là thành phần thiết yếu để duy trì an toàn thông tin và bảo mật trình duyệt trong bối cảnh mối đe dọa ngày càng phức tạp. Google đã đánh dấu vấn đề này là đã được khắc phục, cho thấy bản vá đã sẵn sàng. Tuy nhiên, các chi tiết cụ thể về thời gian triển khai bản vá trên tất cả các phiên bản Chrome vẫn đang được xem xét.
Người dùng và quản trị viên hệ thống cần ưu tiên việc cập nhật bản vá trình duyệt lên phiên bản mới nhất ngay khi có thể để đảm bảo an toàn trước các mối đe dọa tiềm ẩn. Lỗ hổng remote code execution như thế này nhắc nhở chúng ta về tầm quan trọng của việc duy trì một tư thế an ninh mạng mạnh mẽ.
