Foto: BleepingComputer
Hakersko natjecanje Pwn2Own Berlin 2026 završilo je s ukupno 1,298,250 dolara isplaćenih sigurnosnim istraživačima nakon što su iskoristili 47 zero-day ranjivosti. Natjecanje je održano na konferenciji OffensiveCon od 14. do 16. svibnja, a fokus je bio na poslovnim tehnologijama i umjetnoj inteligenciji.
Tijekom natjecanja mete su bili potpuno zakrpani proizvodi iz više kategorija, uključujući web preglednike, poslovne aplikacije, lokalno podizanje privilegija, poslužitelje, lokalno zaključivanje, cloud-native i container okruženja, virtualizaciju te LLM sustave. Prvoga dana sudionici su osvojili 523,000 dolara za 24 jedinstvena zero-daya, drugoga dana još 385,750 dolara za 15 ranjivosti, a trećega dana dodatnih 389,500 dolara za još osam zero-day ranjivosti.
DEVCORE je ovogodišnje izdanje završio na prvom mjestu s 50.5 Master of Pwn bodova i ukupno 505,000 dolara nagrada tijekom trodnevnog natjecanja, nakon napada na Microsoft SharePoint, Microsoft Exchange, Microsoft Edge i Windows 11. Na drugom mjestu završio je STARLabs SG s 242,500 dolara i 25 bodova, a treći je bio Out Of Bounds s 95,750 dolara i 12.75 bodova.
Najveća pojedinačna nagrada iznosila je 200,000 dolara. Dobio ju je Cheng-Da Tsai, poznat i kao Orange Tsai iz DEVCORE Research Teama, nakon što je povezao tri pogreške i ostvario udaljeno izvršavanje koda sa SYSTEM privilegijama na Microsoft Exchangeu. Orange Tsai je prvoga dana osvojio još 175,000 dolara za Microsoft Edge sandbox escape, koji je prema opisu u natjecanju uključivao četiri logičke pogreške.
Na prvom danu Windows 11 je bio probijen tri puta, a Valentina Palmiotti, poznata kao chompie, iz IBM X-Force Offensive Researcha osvojila je 70,000 dolara za rooting Red Hat Linuxa for Workstations i zero-day u NVIDIA Container Toolkitu. Drugoga dana prikazana je još jedna ranjivost za lokalno podizanje privilegija na Windowsu 11, ranjivost za podizanje root privilegija u Red Hat Enterprise Linuxu for Workstations te zero-day ranjivosti u više AI coding agenata. Trećega i posljednjega dana natjecatelji su ponovno probili Windows 11 i Red Hat Enterprise Linux for Workstations, a bug za oštećenje memorije iskoristili su i protiv VMware ESXija.
Nakon završetka Pwn2Owna dobavljači imaju 90 dana za objavu sigurnosnih zakrpa prije nego što ih Trend Microv Zero Day Initiative javno otkrije. Prošlogodišnje izdanje Pwn2Own Berlina, koje je osvojio tim STAR Labs SG, donijelo je 1,078,750 dolara za 29 zero-day ranjivosti i nekoliko sudara bugova.
Vezane vijesti
