SecAtor
@true_secator
Завершился очередной этап Pwn2Own: на этот раз конкурс проходил в рамках конференции OffensiveCon с 14 по 16 мая и был посвящен корпоративным технологиям и ИИ.
В рамках Pwn2Own Berlin 2026 исследователи заработали 1 298 250 долларов в качестве вознаграждений за демонстрацию 47 0-day, в то время как в ходе прошлогоднего Pwn2Own Berlin ZDI выплатила 1 078 750 за 29 нулей.
За время конкурса хакеры атаковали полностью пропатченные решения в различных категориях: браузеры, корпоративные приложения, серверы, локальный вывод данных, облачные/контейнерные среды, виртуализация и LLM.
В первый день участники смогли урвать 523 000 долл. за 24 уникальные 0-day, а на второй день - еще 385 750 долл. за эксплуатацию 15 нулей. На третий день Pwn2Own они заработали еще 389 500 долл. за эксплуатацию еще восьми уязвимостей нулевого дня.
По итогам победителем Pwn2Own Berlin стала команда DEVCORE, набравшая 50,5 очков Master of Pwn и получившая 505 000 долл. призовых, взломав Microsoft SharePoint, Microsoft Exchange, Microsoft Edge и Windows 11.
За ней на втором месте следуют STARLabs SG с 242 500 долл. (25 очков) и третье досталось - Out Of Bounds с 95 750 долл. (12,75 очков).
Главный приз конкурса составил 200 000 долл. и был присужден Ченг-Да Цаю (также известному как Оранж Цай) из DEVCORE за обнаружение трех ошибок, позволивших получить возможность RCE с правами SYSTEM на Microsoft Exchange.
В первый день Оранж Цай заработал еще 175 000 долл. за выход из песочницы Microsoft Edge, обнаружив 4 ошибки, Windows 11 была взломана 3 раза, а Валентина Пальмиотти (chompie) из IBM X-Force Offensive Research получила 70 000 долл. за получение root-прав на Red Hat Linux for Workstations и 0-day в NVIDIA Container Toolkit.
На второй день хакеры продемонстрировали еще одну уязвимость локального повышения привилегий в Windows 11, уязвимость повышения привилегий до уровня root в Red Hat Enterprise Linux for Workstations, а также 0-day в нескольких агентах ИИ-программирования.
В третий, заключительный день соревнований участники снова взломали Windows 11 и Red Hat Enterprise Linux for Workstations, а также использовали уязвимость, связанную с повреждением памяти, для эксплуатации уязвимости VMware ESXi.
По завершении Pwn2Own у поставщиков будет 90 дней на выпуск обновлений до того, как TrendMicro ZDI публично их раскроет.
В рамках Pwn2Own Berlin 2026 исследователи заработали 1 298 250 долларов в качестве вознаграждений за демонстрацию 47 0-day, в то время как в ходе прошлогоднего Pwn2Own Berlin ZDI выплатила 1 078 750 за 29 нулей.
За время конкурса хакеры атаковали полностью пропатченные решения в различных категориях: браузеры, корпоративные приложения, серверы, локальный вывод данных, облачные/контейнерные среды, виртуализация и LLM.
В первый день участники смогли урвать 523 000 долл. за 24 уникальные 0-day, а на второй день - еще 385 750 долл. за эксплуатацию 15 нулей. На третий день Pwn2Own они заработали еще 389 500 долл. за эксплуатацию еще восьми уязвимостей нулевого дня.
По итогам победителем Pwn2Own Berlin стала команда DEVCORE, набравшая 50,5 очков Master of Pwn и получившая 505 000 долл. призовых, взломав Microsoft SharePoint, Microsoft Exchange, Microsoft Edge и Windows 11.
За ней на втором месте следуют STARLabs SG с 242 500 долл. (25 очков) и третье досталось - Out Of Bounds с 95 750 долл. (12,75 очков).
Главный приз конкурса составил 200 000 долл. и был присужден Ченг-Да Цаю (также известному как Оранж Цай) из DEVCORE за обнаружение трех ошибок, позволивших получить возможность RCE с правами SYSTEM на Microsoft Exchange.
В первый день Оранж Цай заработал еще 175 000 долл. за выход из песочницы Microsoft Edge, обнаружив 4 ошибки, Windows 11 была взломана 3 раза, а Валентина Пальмиотти (chompie) из IBM X-Force Offensive Research получила 70 000 долл. за получение root-прав на Red Hat Linux for Workstations и 0-day в NVIDIA Container Toolkit.
На второй день хакеры продемонстрировали еще одну уязвимость локального повышения привилегий в Windows 11, уязвимость повышения привилегий до уровня root в Red Hat Enterprise Linux for Workstations, а также 0-day в нескольких агентах ИИ-программирования.
В третий, заключительный день соревнований участники снова взломали Windows 11 и Red Hat Enterprise Linux for Workstations, а также использовали уязвимость, связанную с повреждением памяти, для эксплуатации уязвимости VMware ESXi.
По завершении Pwn2Own у поставщиков будет 90 дней на выпуск обновлений до того, как TrendMicro ZDI публично их раскроет.
Bluesky Social
TrendAI Zero Day Initiative (@thezdi.bsky.social)
That's a wrap on Pwn2Own Berlin 2026! 🏆 $1,298,250 awarded. 47 unique 0-days. 3 days of absolute chaos. And talk about main character energy - congrats to DEVCORE for claiming Master of Pwn with 50.5 points and $505,000 - they never slowed down. See you next year! #Pwn2Own #P2OBerlin
23 6.9K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram