Pwn2Own Berlijn 2025: Eerste Dag Vol Succes Voor Onderzoekers

Tijdens de eerste dag van Pwn2Own Berlijn 2025 hebben beveiligingsonderzoekers maar liefst $260.000 gewonnen. Ze demonstreerden succesvol zero-day exploits voor Windows 11, Red Hat Linux en Oracle VirtualBox.

De eerste doorbraak kwam bij Red Hat Enterprise Linux voor Workstations in de categorie lokale privilege-escalatie. Het DEVCORE Research Team, geleid door Pumpkin, maakte gebruik van een integer overflow-kwetsbaarheid en verdiende hiermee $20.000.

Hyunwoo Kim en Wongi Lee wisten ook root-toegang te krijgen op een Red Hat Linux-apparaat door een use-after-free in combinatie met een informatielek uit te buiten. Echter, een van de kwetsbaarheden was al eerder bekend, wat zorgde voor een bugbotsing.

Chen Le Qi van STARLabs SG ontving $30.000 voor een exploitketen die een use-after-free en een integer overflow combineerde om systeemprivileges op een Windows 11-systeem te verkrijgen.

Windows 11 werd nog twee keer meer gekraakt voor systeemprivileges: Marcin Wiązowski gebruikte een out-of-bounds write-aanval, en Hyeonjin Choi demonstreerde een typeverwisseling zero-day.

Team Prison Break verdiende $40.000 met een exploitketen die een integer overflow gebruikte om uit Oracle VirtualBox te ontsnappen en code uit te voeren op het onderliggende besturingssysteem.

Sina Kheirkhah van Summoning Team won $35.000 voor een Chroma zero-day en een al bekende kwetsbaarheid in Nvidia’s Triton Inference Server. STARLabs SG’s Billy en Ramdhan ontvingen $60.000 voor het ontsnappen uit Docker Desktop en het uitvoeren van code op het onderliggende OS met een use-after-free zero-day.

Pwn2Own Berlijn 2025 richt zich op ondernemstechnologieën en introduceert een nieuwe AI-categorie. De competitie vindt plaats van 15 tot 17 mei tijdens de OffensiveCon-conferentie.

Op de tweede dag zullen onderzoekers zero-days proberen te exploiteren in onder andere Microsoft SharePoint, VMware ESXi en Mozilla Firefox, evenals opnieuw Red Hat Linux en Oracle VirtualBox.

Nadat de zero-day-kwetsbaarheden tijdens Pwn2Own zijn gedemonstreerd en bekendgemaakt, hebben leveranciers 90 dagen de tijd om beveiligingsupdates uit te brengen voor hun producten.

Deelnemers richten zich op volledig gepatchte producten binnen categorieën als AI, webbrowsers, virtualisatie, lokale privilege-escalatie, servers, bedrijfsapplicaties, cloud-native/container en automotive. In totaal kunnen ze meer dan $1.000.000 aan geld en prijzen verdienen.

Hoewel de 2024 Tesla Model 3 en de 2025 Tesla Model Y ook als doelwitten beschikbaar waren, zijn er voor de start van de competitie geen pogingen geregistreerd.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.