Cercetătorii de securitate au încasat 1.298.250 de dolari la Pwn2Own Berlin 2026 pentru 47 de vulnerabilități zero-day - Microsoft Exchange și Windows 11, printre țintele compromise pe produse complet actualizate

Pwn2Own Berlin 2026 a scos la lumină 47 de vulnerabilități „zero-day” plătite cu 1.298.250 dolari (aprox. 5,9 milioane lei) , un semnal despre cât de rapid pot fi compromise produse enterprise și cât de mare este presiunea pe furnizori să livreze patch-uri, potrivit Bleeping Computer . Concursul s-a desfășurat între 14 și 16 mai, în cadrul conferinței OffensiveCon, și a vizat tehnologii pentru companii și inteligență artificială. Participanții au atacat produse complet actualizate (fully patched) din categorii precum browsere web, aplicații enterprise, escaladare locală de privilegii, servere, inferență locală, medii cloud-native/containere, virtualizare și modele lingvistice mari (LLM). Cum s-au împărțit premiile și ce arată ritmul descoperirilor Recompensele au fost acordate pe parcursul a trei zile, în funcție de numărul de „zero-day”-uri demonstrate: Ziua 1: 523.000 dolari pentru 24 de „zero-day”-uri unice Ziua 2: 385.750 dolari pentru 15 „zero-day”-uri Ziua 3: 389.500 dolari pentru încă 8 „zero-day”-uri În total, cercetătorii au obținut 1.298.250 dolari pentru 47 de vulnerabilități „zero-day” (defecte necunoscute public și, de regulă, nepătch-uite la momentul demonstrării). Cine a câștigat și ce produse au fost compromise Ediția din 2026 a fost câștigată de DEVCORE , cu 50,5 puncte „Master of Pwn” și 505.000 dolari, după ce a demonstrat atacuri asupra Microsoft SharePoint, Microsoft Exchange, Microsoft Edge și Windows 11. Pe locurile următoare s-au clasat STARLabs SG (242.500 dolari, 25 de puncte) și Out Of Bounds (95.750 dolari, 12,75 puncte). Cea mai mare recompensă individuală a fost de 200.000 dolari, acordată lui Cheng-Da Tsai („Orange Tsai”) din DEVCORE Research Team, după ce a combinat trei vulnerabilități pentru a obține execuție de cod la distanță cu privilegii SYSTEM pe Microsoft Exchange. În timpul competiției au mai fost demonstrate, între altele, atacuri asupra Windows 11 și vulnerabilități de escaladare a privilegiilor pe Red Hat Enterprise Linux for Workstations, precum și „zero-day”-uri în mai mulți agenți de programare bazați pe AI. În ultima zi, concurenții au exploatat și VMware ESXi folosind o vulnerabilitate de corupere a memoriei. Ce urmează pentru companii: fereastra de 90 de zile pentru patch-uri După încheierea Pwn2Own, furnizorii au la dispoziție 90 de zile pentru a lansa actualizări de securitate înainte ca Trend Micro Zero Day Initiative (ZDI) să facă publice detaliile tehnice. Pentru organizații, asta înseamnă că următoarele luni pot aduce un val de patch-uri critice, iar întârzierea aplicării lor crește riscul ca aceleași clase de vulnerabilități să fie transformate în atacuri reale. Ca reper, în 2025, Pwn2Own Berlin a acordat 1.078.750 dolari pentru 29 de „zero-day”-uri, plus unele „coliziuni” de bug-uri (situații în care echipe diferite găsesc aceeași vulnerabilitate). [...]