Pwn2Own Berlin 2025: Windows 11, VMware, Firefox e outros hackeados

O Pwn2Own Berlin 2025, realizado na conferência OffensiveCon, concluiu seus dois primeiros dias com conquistas notáveis ​​em pesquisa de segurança cibernética. Um total de US$ 695.000 foi concedido para 39 vulnerabilidades de dia zero exclusivas, com o último dia agendado para sábado, 17 de maio.

Em 15 de maio, a competição começou com 11 tentativas de exploração, incluindo a primeira categoria de IA. Pesquisadores ganharam US$ 260.000 por demonstrações bem-sucedidas em diversas plataformas.

• Windows 11: Chen Le Qi, da STAR Labs SG, combinou um uso após liberação e um estouro de inteiro para escalar privilégios para SYSTEM, ganhando US$ 30.000 e 3 pontos Master of Pwn.

• Red Hat Linux : Pumpkin da equipe de pesquisa DEVCORE explorou um estouro de inteiro para escalonamento de privilégios, garantindo US$ 20.000 e 2 pontos.

• Oracle VirtualBox: A equipe Prison Break conseguiu escapar de uma máquina virtual por meio de um estouro de número inteiro, recebendo US$ 40.000 e 4 pontos.

• Docker Desktop: Billy e Ramdhan, do STAR Labs, demonstraram um escape de contêiner usando uma vulnerabilidade do kernel Linux, ganhando US$ 60.000 e 6 pontos.

• Categoria IA: Sina Kheirkhah, da Summoning Team, explorou o banco de dados do aplicativo Chroma AI, marcando o primeiro sucesso nesta categoria e ganhando US$ 20.000 e 2 pontos.

Prêmios adicionais foram dados por outras façanhas bem-sucedidas, incluindo um bug de confusão de tipos no Windows 11 por Hyeonjin Choi do Out Of Bounds, que ganhou US$ 15.000 e 3 pontos.

No segundo dia, 16 de maio, os pesquisadores descobriram 20 vulnerabilidades exclusivas de dia zero, resultando em US$ 435.000 em prêmios.

• Microsoft SharePoint: Dinh Ho Anh Khoa, da Viettel Cyber ​​Security, combinou um desvio de autenticação e uma desserialização insegura para explorar o SharePoint, ganhando US$ 100.000 e 10 pontos.

• VMware ESXi: Synacktiv demonstrou um exploit bem-sucedido, garantindo US$ 80.000 e 8 pontos.

• Servidor de inferência NVIDIA Triton: Mohand Acherir e Patrick Ventuzelo, da FuzzingLabs, ganharam US$ 15.000 e 1,5 pontos por sua exploração, que era uma vulnerabilidade conhecida, mas não corrigida.

Outros exploits bem-sucedidos incluíram ataques ao Firefox, Redis e outros sistemas de IA.SecurityWeek

Encerrando o segundo dia do #Pwn2Own Berlin 2025. Concedemos US$ 695.000 para 20 dias 0 exclusivos, com mais um dia pela frente! pic.twitter.com/x2oBfaSfKS

— Iniciativa Trend Zero Day (@thezdi) 16 de maio de 2025

O último dia, sábado, 17 de maio, deve apresentar as tentativas restantes programadas, incluindo novas explorações da categoria IA e outros alvos de alto perfil. Com US$ 695.000 já concedidos, a premiação total deve ultrapassar US$ 1.000.000.

Ao final do segundo dia, a STAR Labs SG liderava a classificação do Master of Pwn, tendo demonstrado diversas façanhas bem-sucedidas em diversas categorias. A classificação final será definida após a conclusão do terceiro dia.

O Pwn2Own Berlin 2025 apresentou os crescentes desafios da segurança cibernética , destacando a importância da pesquisa proativa sobre vulnerabilidades. A introdução da categoria IA reflete o foco crescente na proteção de tecnologias emergentes.

Observação: as informações acima são baseadas nos dados mais recentes disponíveis do evento Pwn2Own Berlin 2025. Para obter resultados detalhados e atualizações, consulte o blog oficial da Iniciativa Dia Zero.