SchwachstellenHackerangriffeKI-Sicherheit

Pwn2Own Berlin 2026: Sicherheitsforscher knacken Windows 11 und Microsoft Edge mit 24 Zero-Days

Von CyberDeutsch Redaktion
Pwn2Own Berlin 2026: Sicherheitsforscher knacken Windows 11 und Microsoft Edge mit 24 Zero-Days
Zusammenfassung

Der Hacker-Wettbewerb Pwn2Own Berlin 2026 hat am ersten Tag dramatische Sicherheitslücken in Windows 11 und Microsoft Edge offenbart. Sicherheitsforscher haben insgesamt 523.000 Dollar verdient, indem sie 24 bisher unbekannte Zero-Day-Schwachstellen exploitiert haben. Besonders bemerkenswert ist die Leistung von Orange Tsai, der durch das Verketten von vier Logikfehlern eine Sandbox-Umgehung in Microsoft Edge erreichte und dafür 175.000 Dollar erhielt. Windows 11 wurde zudem gleich dreimal erfolgreich angegriffen, wobei Forscher neue Privilege-Escalation-Lücken demonstrierten. Die Ergebnisse unterstreichen ein kritisches Sicherheitsproblem: Selbst moderne, vollständig aktualisierte Systeme von Microsoft und anderen großen Herstellern sind anfällig für Angriffe. Für deutsche Nutzer, Unternehmen und Behörden ist dies äußerst relevant, da Windows 11 weit verbreitet ist. Nach dem Wettbewerb haben die betroffenen Hersteller 90 Tage Zeit, Sicherheitspatches bereitzustellen. Dies bedeutet ein potenzielles Sicherheitsfenster für Cyberattacken in Deutschland, besonders gegen kritische Infrastruktur und Unternehmen, die auf diese Systeme angewiesen sind.

Die Pwn2Own Berlin 2026 findet parallel zur OffensiveCon vom 14. bis 16. Mai statt und konzentriert sich auf Enterprise-Technologien sowie künstliche Intelligenz. Der Wettbewerb zeigt eindrucksvoll, wie angreifbar moderne Software bleibt — selbst in aktuellsten Versionen.

Die größten Einzelleistungen des ersten Tages: Orange Tsai erhielt 175.000 Dollar für die Microsoft-Edge-Schwachstelle. Die Forscher Angelboy und TwinkleStar03 (DEVCORE Internship Program), Marcin Wiązowski und Kentaro Kawane (GMO Cybersecurity) demonstrierten jeweils Privilege-Escalation-Lücken in Windows 11 und erhielten je 30.000 Dollar. Valentina Palmiotti von IBM X-Force verdiente insgesamt 70.000 Dollar — 20.000 für Red Hat Linux und 50.000 für eine NVIDIA-Container-Toolkit-Schwachstelle.

Auch KI-Systeme stehen im Fokus: Forscher exploitierten Zero-Days in OpenAI Codex, LiteLLM, NVIDIA Megatron Bridge und Anthropic Claude. Diese Attacken illustrieren wachsende Risiken in der KI-Supply-Chain.

Das DEVCORE Research Team führt die Rangliste mit 205.000 Dollar an, gefolgt von Valentina Palmiotti mit 70.000 Dollar. Der zweite Konferenztag zielt auf weitere High-Value-Ziele: Microsoft SharePoint, Microsoft Exchange, Apple Safari, Cursor, LM Studio und Mozilla Firefox.

Insgesamt lockt der Wettbewerb mit über einer Million Dollar Prämien. Nach Pwn2Own-Regeln müssen alle getesteten Systeme die neuesten Versionen ausführen und die Forscher müssen arbitrary code execution demonstrieren. Entscheidend: Hersteller erhalten 90 Tage, um Patches zu veröffentlichen.

Im Vorjahr vergab TrendMicro’s Zero Day Initiative 1.078.750 Dollar für 29 Zero-Days. Die bisherige Bilanz 2026 deutet auf verstärkte Attackvektoren hin — insbesondere das Verketten mehrerer Bugs zu komplexen Exploits wird zur Standard-Taktik.

Deutsche Unternehmen sollten Sicherheitsbulletins von Microsoft und anderen Herstellern eng verfolgen. Das BSI empfiehlt umgehende Patch-Management-Prozesse, um Lücken dieser Kritikalität zügig zu schließen. Die Tage zwischen Disclosure und Verfügbarkeit von Patches sind entscheidend.

Ähnliche Artikel