Pwn2Own Berlin 2025 : Windows 11, VMware, Firefox et autres piratés

Le lancement de Pwn2Own Berlin 2025, organisé lors de la conférence OffensiveCon, a conclu ses deux premiers jours avec des avancées notables dans la recherche en cybersécurité. Un total de 695 000 $ a été attribué pour 39 vulnérabilités zero-day uniques, la dernière journée étant prévue le samedi 17 mai.

Le 15 mai, la compétition a débuté avec 11 tentatives d'exploitation, dont la toute première catégorie IA. Les chercheurs ont remporté 260 000 $ pour leurs démonstrations réussies sur diverses plateformes.

• Windows 11 : Chen Le Qi de STAR Labs SG a combiné une utilisation après libération et un dépassement d'entier pour élever les privilèges à SYSTEM, gagnant 30 000 $ et 3 points Master of Pwn.

• Red Hat Linux : Pumpkin de l'équipe de recherche DEVCORE a exploité un dépassement d'entier pour une élévation de privilèges, obtenant 20 000 $ et 2 points.

• Oracle VirtualBox : L'équipe Prison Break a réussi à s'échapper d'une machine virtuelle via un dépassement d'entier, recevant 40 000 $ et 4 points.

• Docker Desktop : Billy et Ramdhan de STAR Labs ont démontré une évasion de conteneur en utilisant une vulnérabilité du noyau Linux, gagnant 60 000 $ et 6 points.

• Catégorie IA : Sina Kheirkhah de Summoning Team a exploité la base de données de l'application Chroma AI, marquant le premier succès dans cette catégorie et gagnant 20 000 $ et 2 points.

Des récompenses supplémentaires ont été décernées pour d'autres exploits réussis, notamment un bug de confusion de type dans Windows 11 par Hyeonjin Choi d'Out Of Bounds, qui a gagné 15 000 $ et 3 points.

Le deuxième jour, le 16 mai, les chercheurs ont découvert 20 vulnérabilités zero-day uniques, ce qui a donné lieu à des récompenses d'un montant de 435 000 $.

• Microsoft SharePoint : Dinh Ho Anh Khoa de Viettel Cyber ​​Security a combiné un contournement d'authentification et une désérialisation non sécurisée pour exploiter SharePoint, gagnant 100 000 $ et 10 points.

• VMware ESXi : Synacktiv a démontré un exploit réussi, obtenant 80 000 $ et 8 points.

• NVIDIA Triton Inference Server : Mohand Acherir et Patrick Ventuzelo de FuzzingLabs ont gagné 15 000 $ et 1,5 point pour leur exploit, qui était une vulnérabilité connue mais non corrigée.

D'autres exploits réussis incluent des attaques sur Firefox, Redis et d'autres systèmes d'IA.SecurityWeek

Fin du deuxième jour de #Pwn2Own Berlin 2025. Nous avons attribué 695 000 $ pour 20 jours 0 uniques, avec encore un jour à jouer ! pic.twitter.com/x2oBfaSfKS

— Trend Zero Day Initiative (@thezdi) 16 mai 2025

Le dernier jour, le samedi 17 mai, devrait être consacré aux tentatives restantes, notamment à d'autres exploits de catégorie IA et à d'autres cibles de premier plan. Avec 695 000 $ déjà attribués, la dotation totale devrait dépasser le million de dollars.

À l'issue de la deuxième journée, STAR Labs SG est en tête du classement Master of Pwn, grâce à de nombreux exploits dans différentes catégories. Le classement final sera déterminé à l'issue de la troisième journée.

Pwn2Own Berlin 2025 a mis en lumière les défis croissants en matière de cybersécurité , soulignant l'importance d'une recherche proactive des vulnérabilités. L'introduction de la catégorie IA reflète l'intérêt croissant pour la sécurisation des technologies émergentes.

Remarque : les informations ci-dessus sont basées sur les dernières données disponibles de l'événement Pwn2Own Berlin 2025. Pour des résultats détaillés et des mises à jour, consultez le blog officiel de Zero Day Initiative.