Le premier jour de Pwn2Own Berlin 2025, des chercheurs en sécurité ont reçu 260 000 $après avoir démontré avec succès des exploits zero-day pour Windows 11, Red Hat Linux et Oracle VirtualBox.
Red Hat Enterprise Linux pour postes de travail a été le premier à tomber dans la catégorie de l’élévation des privilèges locaux après que Pumpkin, de l’équipe de recherche DEVCORE, a exploité une vulnérabilité de débordement d’entier pour gagner 20 000$.
Hyunwoo Kim et Wongi Lee se sont également enracinés sur un périphérique Red Hat Linux en enchaînant une utilisation après libération et une fuite d’informations, mais l’une des failles exploitées était un jour N, ce qui a conduit à une collision de bogues.
Ensuite, Chen Le Qi de Starlabs SG a reçu 30 000 $pour une chaîne d’exploits combinant une utilisation après libération et un débordement d’entier pour augmenter les privilèges du SYSTÈME sur un système Windows 11.
Windows 11 a été piraté deux fois de plus pour obtenir des privilèges SYSTÈME par Marcin Wiązowski, qui a exploité une vulnérabilité d’écriture hors limites, et Hyeonjin Choi, qui a fait une démonstration d’une confusion de type zero-day.
Team Prison Break a gagné 40 000 after après avoir fait la démonstration d’une chaîne d’exploits qui utilisait un débordement d’entier pour échapper à Oracle VirtualBox et exécuter du code sur le système d’exploitation sous-jacent.
Sina Kheirkhah, de l’équipe d’invocation, a reçu 35 000 USD supplémentaires pour un Chroma zero-day et une vulnérabilité déjà connue dans le serveur d’inférence Triton de Nvidia, tandis que Billy et Ramdhan de Starlabs SG ont gagné 60 000 USD pour avoir échappé au bureau Docker et exécuté du code sur le système d’exploitation sous-jacent à l’aide d’un zero-day à utiliser après la libération.
Le concours de piratage Pwn2Own Berlin 2025, qui se concentre sur les technologies d’entreprise et introduit une catégorie IA, se déroule à Berlin du 15 au 17 mai, lors de la conférence OffensiveCon.
Le deuxième jour, les chercheurs en sécurité tenteront d’exploiter les jours zéro dans Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Red Hat Enterprise Linux pour postes de travail et Oracle VirtualBox.
Une fois les vulnérabilités zero-day démontrées et divulguées lors de Pwn2Own, les fournisseurs disposent de 90 jours pour publier des correctifs de sécurité pour leurs produits logiciels et matériels.
Les candidats Pwn2Own cibleront des produits entièrement corrigés dans les catégories IA, navigateur Web, virtualisation, élévation des privilèges locaux, serveurs, applications d’entreprise, cloud natif/conteneur et automobile, et pourront gagner plus de 1 000 000 $en espèces et en prix.
Cependant, alors que les unités de paillasse Tesla Model 3 2024 et Tesla Model Y 2025 étaient également disponibles comme cibles, aucune tentative n’a été enregistrée avant le début de la compétition.