No primeiro dia do Pwn2Own Berlin 2025, pesquisadores de segurança foram premiados com $260.000 após demonstrarem com sucesso exploits de zero-day para Windows 11, Red Hat Linux e Oracle VirtualBox.
O Red Hat Enterprise Linux for Workstations foi o primeiro a ser comprometido na categoria de escalonamento de privilégios locais após a DEVCORE Research Team, com o Pumpkin, explorar uma vulnerabilidade de estouro de inteiro para ganhar $20.000.
Hyunwoo Kim e Wongi Lee também obtiveram acesso root em um dispositivo com Red Hat Linux ao encadear um use-after-free e um vazamento de informações, mas uma das falhas exploradas era um N-day, o que levou a uma colisão de bugs.
Em seguida, Chen Le Qi da STARLabs SG recebeu $30.000 por uma cadeia de exploits combinando um use-after-free e um estouro de inteiro para escalar privilégios para SYSTEM em um sistema Windows 11.
O Windows 11 foi hackeado mais duas vezes para ganhar privilégios de SYSTEM por Marcin Wiązowski, que explorou uma vulnerabilidade de escrita fora dos limites, e por Hyeonjin Choi, que demonstrou um zero-day de confusão de tipo.
O Team Prison Break ganhou $40.000 após demonstrar uma cadeia de exploits que usava um estouro de inteiro para escapar do Oracle VirtualBox e executar código no sistema operacional subjacente.
A equipe Summoning, com Sina Kheirkhah, recebeu mais $35.000 por um zero-day no Chroma e uma vulnerabilidade já conhecida no Triton Inference Server da Nvidia, enquanto Billy e Ramdhan da STARLabs SG ganharam $60.000 por escapar do Docker Desktop e executar código no Sistema Operacional subjacente usando um zero-day de use-after-free.
A competição de hacking Pwn2Own Berlin 2025, que foca em tecnologias empresariais e introduz uma categoria de IA, acontece em Berlim entre 15 e 17 de maio, durante a conferência OffensiveCon.
No segundo dia, pesquisadores de segurança tentarão explorar zero-days no Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Red Hat Enterprise Linux for Workstations e Oracle VirtualBox.
Após serem demonstradas e divulgadas as vulnerabilidades zero-day durante o Pwn2Own, os fornecedores têm 90 dias para lançar correções de segurança para seus produtos de software e hardware.
Os competidores do Pwn2Own visarão produtos totalmente atualizados nas categorias de IA, navegador web, virtualização, escalonamento de privilégios locais, servidores, aplicações empresariais, cloud-native/container e automotivo, podendo ganhar mais de $1.000.000 em dinheiro e prêmios.
No entanto, embora as unidades de bancada do Tesla Model 3 2024 e do Tesla Model Y 2025 também estivessem disponíveis como alvos, nenhuma tentativa foi registrada antes do início da competição.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...