Op de tweede dag van Pwn2Own Berlin 2025 verdienden deelnemers $435.000 door zero-day kwetsbaarheden in onder meer Microsoft SharePoint, VMware ESXi, Oracle VirtualBox, Red Hat Enterprise Linux en Mozilla Firefox te benutten.

Een opvallend moment was de succesvolle poging van Nguyen Hoang Thach van STARLabs SG tegen VMware ESXi, waarmee hij $150.000 won dankzij een integer overflow exploit.

Dinh Ho Anh Khoa van Viettel Cyber Security ontving $100.000 voor het hacken van Microsoft SharePoint, waarbij hij gebruik maakte van een combinatie van een auth-bypass en een insecure deserialization-probleem.

Edouard Bochin en Tao Yan van Palo Alto Networks demonstreerden een out-of-bounds write zero-day in Mozilla Firefox, Gerrard Tai van STAR Labs SG verhoogde zijn privileges naar root op Red Hat Enterprise Linux met behulp van een use-after-free bug, en Viettel Cyber Security gebruikte eveneens een out-of-bounds write voor een Oracle VirtualBox-uitbraak van gast naar host.

In de AI-categorie gebruikten onderzoekers van Wiz Research een use-after-free zero-day om Redis te exploiteren, terwijl Qrious Secure vier beveiligingsfouten combineerde om Nvidia’s Triton Inference Server te hacken.

Op de eerste dag verdienden de deelnemers $260.000 door succesvol zero-day kwetsbaarheden te benutten in Windows 11, Red Hat Linux en Oracle VirtualBox, wat het totaal op $695.000 bracht na de eerste twee dagen van de competitie, waarin 20 unieke 0-days werden gedemonstreerd.

### Pwn2Own Berlin 2025 in Vogelvlucht

De hackwedstrijd Pwn2Own Berlin 2025 richt zich op enterprise technologieën en introduceert voor het eerst een AI-categorie tijdens de OffensiveCon conferentie van 15 tot 17 mei.

Onderzoekers kunnen meer dan $1.000.000 verdienen door zero-day bugs te demonstreren in volledig gepatchte producten binnen de categorieën AI, webbrowser, virtualisatie, lokale privilege-escalatie, servers, enterprise applicaties, cloud-native/container en automotive.

Hoewel er geen Tesla-pogingen waren aangemeld voorafgaand aan Pwn2Own, stonden er toch twee Tesla-modellen (Model Y van 2025 en Model 3 van 2024) klaar als doelwitten.

Op de laatste dag van de wedstrijd zullen hackers proberen zero-day bugs te exploiteren in Windows 11, Oracle VirtualBox, VMware ESXi, VMware Workstation, Mozilla Firefox en Nvidia’s Triton Inference Server en Container Toolkit.

Na onthulling van de exploits tijdens de Pwn2Own-wedstrijd hebben leveranciers 90 dagen de tijd om beveiligingsupdates uit te brengen voordat Trend Micro’s Zero Day Initiative de technische details publiceert.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.