Durante o segundo dia do Pwn2Own Berlim 2025, competidores ganharam $435.000 após explorarem bugs de zero-day em diversos produtos, incluindo Microsoft SharePoint, VMware ESXi, Oracle VirtualBox, Red Hat Enterprise Linux e Mozilla Firefox.
O destaque foi uma tentativa bem-sucedida de Nguyen Hoang Thach da STARLabs SG contra o VMware ESXi, que lhe rendeu $150.000 por um exploit de integer overflow.
Dinh Ho Anh Khoa da Viettel Cyber Security foi premiado com $100.000 por hackear o Microsoft SharePoint ao aproveitar uma cadeia de exploits que combinava um bypass de autenticação e uma falha de deserialização insegura.
Pesquisadores de segurança da Palo Alto Networks, Edouard Bochin e Tao Yan, também demonstraram um zero-day de out-of-bounds write no Mozilla Firefox, enquanto Gerrard Tai da STAR Labs SG elevou privilégios para root no Red Hat Enterprise Linux usando um bug de use-after-free, e a Viettel Cyber Security utilizou outro out-of-bounds write para um escape de convidado para hospedeiro no Oracle VirtualBox.
Na categoria de IA, pesquisadores de segurança da Wiz Research utilizaram um zero-day de use-after-free para explorar o Redis, e a Qrious Secure encadeou quatro falhas de segurança para hackear o Triton Inference Server da Nvidia.
No primeiro dia, competidores foram premiados com $260.000 após explorarem com sucesso vulnerabilidades de zero-day no Windows 11, Red Hat Linux e Oracle VirtualBox, alcançando um total de $695.000 ganhos nos dois primeiros dias do concurso após demonstrarem 20 0-days únicos.
O concurso Pwn2Own Berlim 2025, focado em tecnologias empresariais, introduz uma categoria de IA pela primeira vez e acontece durante a conferência OffensiveCon, entre 15 e 17 de maio.
Pesquisadores de segurança poderão ganhar mais de $1.000.000 em recompensas por demonstrarem bugs de zero-day em produtos completamente atualizados nas categorias de IA, navegadores web, virtualização, escalonamento de privilégios locais, servidores, aplicações empresariais, nativo de nuvem/container e automotivo.
No entanto, nenhuma tentativa contra Tesla foi registrada antes do início do Pwn2Own, mesmo com duas unidades de bancada dos modelos Tesla 2025 Model Y e 2024 Model 3 também disponíveis como alvos.
No último dia do concurso, os hackers tentarão explorar bugs de zero-day no Windows 11, Oracle VirtualBox, VMware ESXi, VMware Workstation, Mozilla Firefox, assim como no Triton Inference Server da Nvidia e no Container Toolkit.
Após a divulgação de exploits de zero-day durante o concurso Pwn2Own, os fornecedores têm 90 dias para lançar correções de segurança para seus produtos de software e hardware antes que a Iniciativa Zero Day da Trend Micro publique detalhes técnicos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...