Pwn2Own Berlin 2025: Windows 11, VMware, Firefox ve Diğerleri Hacklendi

OffensiveCon konferansında düzenlenen Pwn2Own Berlin 2025'in başlangıcı, siber güvenlik araştırmalarında kayda değer başarılarla ilk iki gününü tamamladı. 39 benzersiz sıfır günlük güvenlik açığı için toplam 695.000 $ ödül verildi ve son gün 17 Mayıs Cumartesi olarak planlandı.

15 Mayıs'ta yarışma, ilk AI kategorisi de dahil olmak üzere 11 istismar girişimiyle başladı. Araştırmacılar, çeşitli platformlarda başarılı gösteriler için 260.000 $ kazandı.

• Windows 11: STAR Labs SG'den Chen Le Qi, kullanım sonrası serbest bırakma ve tam sayı taşmasını birleştirerek ayrıcalıkları SİSTEM seviyesine yükseltti ve 30.000 dolar ile 3 Usta Pwn puanı kazandı.

• Red Hat Linux : DEVCORE Araştırma Ekibi'nden Pumpkin, ayrıcalık yükseltme için bir tamsayı taşmasını istismar ederek 20.000 dolar ve 2 puan kazandı.

• Oracle VirtualBox: Team Prison Break, tam sayı taşması yoluyla sanal makineden kaçışı başardı ve 40.000 dolar ile 4 puan kazandı.

• Docker Desktop: STAR Labs'tan Billy ve Ramdhan, Linux çekirdeğindeki bir güvenlik açığını kullanarak bir konteyner kaçışını göstererek 60.000 dolar ve 6 puan kazandılar.

• AI Kategorisi: Summoning Team'den Sina Kheirkhah, Chroma AI uygulama veritabanını kullanarak bu kategorideki ilk başarısını elde etti ve 20.000$ ve 2 puan kazandı.

Windows 11'deki tür karışıklığı hatası da dahil olmak üzere diğer başarılı istismarlar için de ek ödüller verildi; Out Of Bounds'tan Hyeonjin Choi, 15.000 dolar ve 3 puan kazandı.

İkinci gün olan 16 Mayıs'ta araştırmacılar 20 benzersiz sıfır gün açığını ortaya çıkardı ve bunun sonucunda 435.000 dolar ödül kazandı.

• Microsoft SharePoint: Viettel Cyber ​​Security'den Dinh Ho Anh Khoa, SharePoint'i istismar etmek için kimlik doğrulama atlama ve güvenli olmayan seri çözme yöntemlerini bir araya getirdi ve 100.000 dolar ve 10 puan kazandı.

• VMware ESXi: Synacktiv başarılı bir saldırı gerçekleştirerek 80.000 dolar ve 8 puan kazandı.

• NVIDIA Triton Inference Server: FuzzingLabs'tan Mohand Acherir ve Patrick Ventuzelo, bilinen ancak yamalanmamış bir güvenlik açığını istismar ederek 15.000 dolar ve 1,5 puan kazandılar.

Diğer başarılı istismarlar arasında Firefox, Redis ve diğer AI sistemlerine yönelik saldırılar yer aldı.SecurityWeek

#Pwn2Own Berlin 2025'in İkinci Gününü tamamlıyoruz. 20 benzersiz 0 gün için 695.000$ ödül verdik ve bir gün daha kaldı! pic.twitter.com/x2oBfaSfKS

— Trend Zero Day Girişimi (@thezdi) 16 Mayıs 2025

Son gün olan 17 Mayıs Cumartesi günü, daha fazla AI kategorisi istismarı ve diğer yüksek profilli hedefler dahil olmak üzere kalan planlanmış girişimlerin yer alması bekleniyor. Zaten 695.000$ ödül verildiğinden, toplam ödül havuzunun 1.000.000$'ı aşması öngörülüyor.

İkinci Günün sonunda, STAR Labs SG çeşitli kategorilerde birden fazla başarılı istismar sergileyerek Master of Pwn sıralamasında lider konumdadır. Son sıralama Üçüncü Günün sonunda belirlenecektir.

Pwn2Own Berlin 2025, proaktif güvenlik açığı araştırmasının önemini vurgulayarak siber güvenlikteki artan zorlukları sergiledi. AI kategorisinin tanıtımı, ortaya çıkan teknolojileri güvence altına almaya yönelik artan odaklanmayı yansıtıyor.

Not: Yukarıdaki bilgiler Pwn2Own Berlin 2025 etkinliğinden elde edilen en son verilere dayanmaktadır. Ayrıntılı sonuçlar ve güncellemeler için Zero Day Initiative'in resmi bloguna bakın.