Pwn2Own 2026 – Berlin
A berlini Pwn2Own 2026 verseny minden eddiginél nagyobb érdeklődés mellett zajlott, és a kutatók összesen közel 1,3 millió dollár jutalmat kaptak 47 egyedi zero-day sérülékenység demonstrálásáért. A Trend Micro Zero Day Initiative (ZDI) által szervezett eseményen Windows 11, Microsoft Exchange, VMware ESX, Red Hat Linux, Nvidia platformok és AI-alapú rendszerek is célponttá váltak.
A verseny egyik legfontosabb eseménye egy teljesen frissített Microsoft Exchange Server kompromittálása volt. A DEVCORE kutatója, Orange Tsai három sérülékenységet láncolt össze, amellyel SYSTEM szintű távoli kódfuttatást ért el, ezért 200 ezer dolláros jutalmat kapott. Ez volt a verseny legértékesebb egyedi exploitja, és különösen nagy figyelmet kapott, mivel az on-prem Exchange infrastruktúrák továbbra is kiemelt célpontjai az APT- és ransomware-műveleteknek.
A Windows 11-et több alkalommal is sikeresen feltörték különböző privilege escalation hibákkal, míg a VMware ESX elleni exploitoknál már cross-tenant kódfuttatást is demonstráltak virtualizált környezetekben. A StarLabs SG csapata egy ilyen VMware ESX exploitért szintén 200 ezer dollárt kapott. A kutatók szerint ez jól mutatja, hogy a hypervisorok és cloud-infrastruktúrák továbbra is kritikus támadási felületet jelentenek.
Különösen látványos volt az AI-kategória aktivitása. A kutatók sikeresen támadták többek között az OpenAI Codexet, a LiteLLM-et és az LM Studio rendszereit is. Ezekért egyenként 40 ezer dolláros jutalmak jártak. A Pwn2Own történetében ez az egyik első év, amikor az AI-rendszerek már önálló fő kategóriaként szerepeltek, ami jól mutatja, hogy a generatív AI-platformok biztonsága stratégiai kérdéssé vált.
A verseny rekordközeli részvételt hozott, a szervezők szerint több mint 150 kutatót kellett elutasítani kapacitáshiány miatt. A ZDI szabályai szerint az összes bemutatott sérülékenységet a gyártók megkapják, és általában 90 nap áll rendelkezésükre a javítások elkészítésére.
