- Автор темы
- #1
На завершившемся соревновании Pwn2Own Berlin 2026 ИБ-исследователи заработали 1 298 250 долларов США, продемонстрировав эксплуатацию 47 уникальных уязвимостей нулевого дня. В этом году соревнование было посвящено корпоративным технологиям и ИИ, а среди целей оказались Windows 11, Microsoft Exchange, VMware ESXi, браузеры, контейнерные среды и LLM-инструменты.
Соревнование проходило в Берлине на прошлой неделе, с 14 по 16 мая, в рамках конференции OffensiveCon. Участники атаковали полностью пропатченные продукты в категориях браузеров, корпоративного ПО, серверов, контейнерных сред, ИИ и так далее.
Только в первый день исследователи заработали 523 000 долларов США, продемонстрировав 24 уникальных 0-day, включая побег песочницы Microsoft Edge, реализованный через цепочку из четырех логических багов.
Во второй день призовые выплаты составили еще 385 750 долларов США за 15 багов, и главным событием стали три ошибки, приведшие к удаленному выполнению кода с правами SYSTEM в Microsoft Exchange. Эту проблему эксплуатировал Ченг-Да Цай (Cheng-Da Tsai) из исследовательской группы DEVCORE, и хак принес ему 200 000 долларов США. Также участники показали несколько 0-day в ИИ-ассистентах для написания кода.
В финале участники получили еще 389 500 долларов США за еще восемь уязвимостей, повторно взломав Windows 11 и Red Hat Enterprise Linux for Workstations, а также использовав уязвимость, связанную с повреждением памяти в VMware ESXi.
В результате победителем Pwn2Own Berlin 2026 стала команда DEVCORE Research Team, набравшая 50,5 балла Master of Pwn и заработавшая суммарно 505 000 долларов США. Исследователи успешно атаковали Microsoft SharePoint, Microsoft Exchange, Microsoft Edge и Windows 11.
Второе место заняла STARLabs SG с 242 500 долларов США и 25 баллами, а третье — Out Of Bounds, получившая 95 750 долларов США и 12,75 балла.
Крупнейшую выплату в этом году — 200 000 долларов США — получил уже упомянутый выше Ченг-Да Цай (Cheng-Da Tsai), также известный под псевдонимом Orange Tsai, из команды DEVCORE. Кроме того, в первый день Orange Tsai заработал еще 175 000 долларов США за упомянутый побег из песочницы Microsoft Edge с помощью цепочки из четырех логических ошибок.
Теперь у производителей есть 90 дней на выпуск патчей. После этого специалисты Trend Micro Zero Day Initiative публично раскроют детали всех показанных на конкурсе уязвимостей.
Напомним, что на прошлогоднем Pwn2Own Berlin исследователи заработали 1 078 750 долларов США, эксплуатировав 28 уникальных 0-day-уязвимостей. Тогда победу одержала команда STARLabs SG.
Соревнование проходило в Берлине на прошлой неделе, с 14 по 16 мая, в рамках конференции OffensiveCon. Участники атаковали полностью пропатченные продукты в категориях браузеров, корпоративного ПО, серверов, контейнерных сред, ИИ и так далее.
Только в первый день исследователи заработали 523 000 долларов США, продемонстрировав 24 уникальных 0-day, включая побег песочницы Microsoft Edge, реализованный через цепочку из четырех логических багов.
Во второй день призовые выплаты составили еще 385 750 долларов США за 15 багов, и главным событием стали три ошибки, приведшие к удаленному выполнению кода с правами SYSTEM в Microsoft Exchange. Эту проблему эксплуатировал Ченг-Да Цай (Cheng-Da Tsai) из исследовательской группы DEVCORE, и хак принес ему 200 000 долларов США. Также участники показали несколько 0-day в ИИ-ассистентах для написания кода.
В финале участники получили еще 389 500 долларов США за еще восемь уязвимостей, повторно взломав Windows 11 и Red Hat Enterprise Linux for Workstations, а также использовав уязвимость, связанную с повреждением памяти в VMware ESXi.
В результате победителем Pwn2Own Berlin 2026 стала команда DEVCORE Research Team, набравшая 50,5 балла Master of Pwn и заработавшая суммарно 505 000 долларов США. Исследователи успешно атаковали Microsoft SharePoint, Microsoft Exchange, Microsoft Edge и Windows 11.
Второе место заняла STARLabs SG с 242 500 долларов США и 25 баллами, а третье — Out Of Bounds, получившая 95 750 долларов США и 12,75 балла.
Крупнейшую выплату в этом году — 200 000 долларов США — получил уже упомянутый выше Ченг-Да Цай (Cheng-Da Tsai), также известный под псевдонимом Orange Tsai, из команды DEVCORE. Кроме того, в первый день Orange Tsai заработал еще 175 000 долларов США за упомянутый побег из песочницы Microsoft Edge с помощью цепочки из четырех логических ошибок.
Теперь у производителей есть 90 дней на выпуск патчей. После этого специалисты Trend Micro Zero Day Initiative публично раскроют детали всех показанных на конкурсе уязвимостей.
Напомним, что на прошлогоднем Pwn2Own Berlin исследователи заработали 1 078 750 долларов США, эксплуатировав 28 уникальных 0-day-уязвимостей. Тогда победу одержала команда STARLabs SG.