Pwn2Own Berlin 2025: Windows 11, VMware, Firefox e altri hackerati

L'evento Pwn2Own Berlin 2025, ospitato dalla conferenza OffensiveCon, si è concluso con risultati notevoli nella ricerca sulla sicurezza informatica. Sono stati assegnati complessivamente 695.000 dollari per 39 vulnerabilità zero-day uniche, con la giornata conclusiva prevista per sabato 17 maggio.

Il 15 maggio, la competizione è iniziata con 11 tentativi di exploit, tra cui la prima categoria di intelligenza artificiale in assoluto. I ricercatori hanno vinto 260.000 dollari per le dimostrazioni di successo su diverse piattaforme.

• Windows 11: Chen Le Qi di STAR Labs SG ha combinato un use-after-free e un integer overflow per aumentare i privilegi a SYSTEM, guadagnando 30.000 $ e 3 punti Master of Pwn.

• Red Hat Linux : Pumpkin del DEVCORE Research Team ha sfruttato un overflow di interi per ottenere l'escalation dei privilegi, ottenendo 20.000 $ e 2 punti.

• Oracle VirtualBox: il Team Prison Break è riuscito a fuggire da una macchina virtuale tramite un integer overflow, ricevendo 40.000 $ e 4 punti.

• Docker Desktop: Billy e Ramdhan di STAR Labs hanno dimostrato un'uscita da un container sfruttando una vulnerabilità del kernel Linux, guadagnando 60.000 $ e 6 punti.

• Categoria AI: Sina Kheirkhah del Summoning Team ha sfruttato il database dell'applicazione Chroma AI, ottenendo il primo successo in questa categoria e guadagnando 20.000 $ e 2 punti.

Sono stati assegnati ulteriori premi per altri exploit riusciti, tra cui un bug di confusione di tipi in Windows 11 da parte di Hyeonjin Choi di Out Of Bounds, che ha guadagnato $ 15.000 e 3 punti.

Il secondo giorno, il 16 maggio, i ricercatori hanno scoperto 20 vulnerabilità zero-day uniche, che hanno fruttato risarcimenti pari a 435.000 dollari.

• Microsoft SharePoint: Dinh Ho Anh Khoa di Viettel Cyber ​​Security ha combinato un bypass dell'autenticazione e una deserializzazione non sicura per sfruttare SharePoint, guadagnando 100.000 $ e 10 punti.

• VMware ESXi: Synacktiv ha dimostrato un exploit riuscito, ottenendo 80.000 $ e 8 punti.

• NVIDIA Triton Inference Server: Mohand Acherir e Patrick Ventuzelo di FuzzingLabs hanno guadagnato 15.000 $ e 1,5 punti per il loro exploit, che era una vulnerabilità nota ma non corretta.

Altri exploit riusciti includevano attacchi a Firefox, Redis e altri sistemi di intelligenza artificiale.SecurityWeek

Si conclude il secondo giorno di #Pwn2Own Berlin 2025. Abbiamo assegnato 695.000 dollari per 20 0-day unici, ne manca ancora uno! pic.twitter.com/x2oBfaSfKS

— Trend Zero Day Initiative (@thezdi) 16 maggio 2025

L'ultimo giorno, sabato 17 maggio, dovrebbe includere i restanti tentativi in ​​programma, inclusi ulteriori exploit nella categoria IA e altri obiettivi di alto profilo. Con 695.000 dollari già assegnati, si prevede che il montepremi totale supererà il milione di dollari.

Al termine del secondo giorno, STAR Labs SG è in testa alla classifica Master of Pwn, avendo dimostrato molteplici successi in diverse categorie. La classifica finale sarà determinata al termine del terzo giorno.

Pwn2Own Berlin 2025 ha messo in luce le crescenti sfide della sicurezza informatica , sottolineando l'importanza di una ricerca proattiva sulle vulnerabilità. L'introduzione della categoria IA riflette la crescente attenzione alla sicurezza delle tecnologie emergenti.

Nota: le informazioni sopra riportate si basano sugli ultimi dati disponibili dell'evento Pwn2Own Berlin 2025. Per risultati dettagliati e aggiornamenti, consultare il blog ufficiale della Zero Day Initiative.