Pwn2Own Berlin 2025: Windows 11, VMware, Firefox und andere gehackt

Der Auftakt von Pwn2Own Berlin 2025, veranstaltet auf der OffensiveCon-Konferenz, endete mit bemerkenswerten Erfolgen in der Cybersicherheitsforschung. Insgesamt wurden 695.000 US-Dollar für 39 einzigartige Zero-Day-Schwachstellen vergeben. Der letzte Tag ist für Samstag, den 17. Mai, geplant.

Am 15. Mai startete der Wettbewerb mit elf Exploit-Versuchen, darunter erstmals in der Kategorie KI. Für erfolgreiche Demonstrationen auf verschiedenen Plattformen erhielten die Forscher 260.000 US-Dollar.

• Windows 11: Chen Le Qi von STAR Labs SG kombinierte einen Use-After-Free- und einen Integer-Überlauf, um die Berechtigungen auf SYSTEM zu erhöhen, und verdiente damit 30.000 US-Dollar und 3 Master of Pwn-Punkte.

• Red Hat Linux : Pumpkin vom DEVCORE-Forschungsteam nutzte einen Ganzzahlüberlauf zur Rechteausweitung und sicherte sich damit 20.000 US-Dollar und 2 Punkte.

• Oracle VirtualBox: Team Prison Break gelang der Ausbruch aus einer virtuellen Maschine durch einen Integer-Überlauf und erhielt dafür 40.000 US-Dollar und 4 Punkte.

• Docker Desktop: Billy und Ramdhan von STAR Labs demonstrierten einen Container-Ausbruch mithilfe einer Schwachstelle im Linux-Kernel und verdienten dafür 60.000 US-Dollar und 6 Punkte.

• Kategorie KI: Sina Kheirkhah vom Summoning Team nutzte die Datenbank der Chroma-KI-Anwendung, verzeichnete damit den ersten Erfolg in dieser Kategorie und verdiente 20.000 $ und 2 Punkte.

Zusätzliche Auszeichnungen wurden für andere erfolgreiche Exploits vergeben, darunter ein Typverwechslungsfehler in Windows 11 von Hyeonjin Choi von Out Of Bounds, der 15.000 US-Dollar und 3 Punkte erhielt.

Am zweiten Tag, dem 16. Mai, deckten Forscher 20 einzigartige Zero-Day-Schwachstellen auf, was ihnen eine Belohnung in Höhe von 435.000 US-Dollar einbrachte.

• Microsoft SharePoint: Dinh Ho Anh Khoa von Viettel Cyber ​​Security kombinierte eine Authentifizierungsumgehung und eine unsichere Deserialisierung, um SharePoint auszunutzen, und verdiente damit 100.000 US-Dollar und 10 Punkte.

• VMware ESXi: Synacktiv demonstrierte einen erfolgreichen Exploit und sicherte sich 80.000 US-Dollar und 8 Punkte.

• NVIDIA Triton Inference Server: Mohand Acherir und Patrick Ventuzelo von FuzzingLabs erhielten 15.000 US-Dollar und 1,5 Punkte für ihren Exploit, bei dem es sich um eine bekannte, aber ungepatchte Sicherheitslücke handelte.

Zu den weiteren erfolgreichen Exploits gehörten Angriffe auf Firefox, Redis und weitere KI-Systeme.SecurityWeek

Tag zwei von #Pwn2Own Berlin 2025 ist vorbei. Wir haben 695.000 $ für 20 einzigartige 0-Tage vergeben, und ein Tag ist noch übrig! pic.twitter.com/x2oBfaSfKS

— Trend Zero Day Initiative (@thezdi) 16. Mai 2025

Am letzten Tag, Samstag, dem 17. Mai, werden voraussichtlich die verbleibenden geplanten Versuche stattfinden, darunter weitere Exploits der KI-Kategorie und andere hochkarätige Ziele. Da bereits 695.000 US-Dollar vergeben wurden, wird der Gesamtpreispool voraussichtlich die Marke von 1.000.000 US-Dollar übersteigen.

Am Ende des zweiten Tages führt STAR Labs SG die Master of Pwn-Rangliste an, nachdem es in verschiedenen Kategorien mehrere erfolgreiche Leistungen gezeigt hat. Die endgültige Rangliste wird nach Abschluss des dritten Tages ermittelt.

Pwn2Own Berlin 2025 hat die wachsenden Herausforderungen der Cybersicherheit aufgezeigt und die Bedeutung proaktiver Schwachstellenforschung hervorgehoben. Die Einführung der Kategorie KI spiegelt den zunehmenden Fokus auf die Sicherung neuer Technologien wider.

Hinweis: Die obigen Informationen basieren auf den neuesten verfügbaren Daten der Veranstaltung Pwn2Own Berlin 2025. Detaillierte Ergebnisse und Updates finden Sie im offiziellen Blog der Zero Day Initiative.