Op de eerste dag van de hackwedstrijd Pwn2Own Berlin 2025 ontvingen securityonderzoekers 260.000 dollar (232.000 euro) aan beloningen na het succesvol demonstreren van zero-day exploits voor Windows 11, Red Hat Linux en Oracle VirtualBox.
Red Hat Enterprise Linux for Workstations was het eerste slachtoffer in de categorie lokale privilege-escalatie. Het DEVCORE Research Team, met onderzoeker Pumpkin, maakte gebruik van een integer overflow-kwetsbaarheid. Het team verdiende daarmee 20.000 dollar. Dit meldt BleepingComputer.
Hyunwoo Kim en Wongi Lee kregen eveneens root-toegang tot een Red Hat Linux-apparaat. Dat lukte door een use-after-free en een informatielek te combineren. Echter, één van de gebruikte kwetsbaarheden was een N-day, wat leidde tot een ‘bug collision’ (botsing van bekende bugs).
Vervolgens werd Chen Le Qi van STARLabs SG beloond met 30.000 dollar voor een exploitketen die een use-after-free en een integer overflow combineerde om SYSTEM-rechten te verkrijgen op een Windows 11-systeem.
Windows 11 werd nog twee keer gehackt om SYSTEM-rechten te verkrijgen. Namelijk door Marcin Wiązowski, die een out-of-bounds write-kwetsbaarheid gebruikte, en door Hyeonjin Choi, die een type confusion zero-day demonstreerde.
Team Prison Break verdiende $40.000 na het demonstreren van een exploitketen die een integer overflow gebruikte om uit Oracle VirtualBox te ontsnappen en code uit te voeren op het onderliggende besturingssysteem.
Sina Kheirkhah van Summoning Team werd nog eens 35.000 dollar toegekend voor een Chroma zero-day en een reeds bekende kwetsbaarheid in Nvidia’s Triton Inference Server. STARLabs SG’s Billy en Ramdhan verdienden $60.000 voor het ontsnappen uit Docker Desktop en het uitvoeren van code op het onderliggende OS via een use-after-free zero-day.
De Pwn2Own Berlin 2025 hackwedstrijd, die zich richt op enterprise-technologieën en een AI-categorie introduceert, vindt dit jaar van 15 tot 17 mei plaats in de Duitse hoofdstad.
Misbruik van zero-days kwetsbaarheden
Op de tweede dag zullen securityonderzoekers proberen zero-days te misbruiken in Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Red Hat Enterprise Linux for Workstations en Oracle VirtualBox.
Nadat de zero-day kwetsbaarheden zijn gedemonstreerd en openbaar gemaakt tijdens Pwn2Own, hebben leveranciers 90 dagen de tijd om securitypatches uit te brengen voor hun software- en hardwareproducten.
Deelnemers aan Pwn2Own richten zich op volledig gepatchte producten in de categorieën AI, webbrowsers, virtualisatie, lokale privilege-escalatie, servers, zakelijke toepassingen, cloud-native/containers en automotive, met een potentiële totale beloning van meer dan $1.000.000 aan geldprijzen en beloningen.