Pwn2Own Berlin 2026: Windows 11 und Microsoft Edge am ersten Tag gehackt

Zusammenfassung

Beim Hacking-Wettbewerb Pwn2Own Berlin 2026 haben Sicherheitsforscher am ersten Tag insgesamt 523.000 US-Dollar an Preisgeldern eingestrichen und dabei 24 einzigartige Zero-Day-Lücken ausgenutzt. Der Wettbewerb findet im Rahmen der Konferenz OffensiveCon vom 14. bis 16. Mai statt und richtet den Fokus auf Unternehmenstechnologien und künstliche Intelligenz. Herausragend war der Auftritt von Orange Tsai, der 175.000 Dollar erhielt, nachdem er vier Logikfehler zu einem Sandbox-Ausbruch aus Microsoft Edge verkettet hatte. Auch Windows 11 wurde mehrfach kompromittiert: Gleich drei verschiedene Teilnehmer demonstrierten neue Zero-Days zur Rechteausweitung. Insgesamt lassen sich bei Pwn2Own Berlin 2026 über eine Million US-Dollar an Preisgeldern verdienen, wenn Forscher voll gepatchte Produkte in Kategorien wie Webbrowser, Virtualisierung, lokale Rechteausweitung, Server, Unternehmensanwendungen, Cloud- und Container-Technologien sowie lokale KI-Inferenz und große Sprachmodelle erfolgreich angreifen. Nach den Regeln laufen alle Zielgeräte mit der jeweils aktuellen Betriebssystemversion, und jeder Beitrag muss das Ziel kompromittieren und das Ausführen beliebigen Codes nachweisen.

Den höchsten Einzelbetrag des ersten Tages sicherte sich Orange Tsai. Für die Verkettung von vier Logikfehlern, mit der er aus der Sandbox von Microsoft Edge ausbrach, erhielt er 175.000 US-Dollar.

Windows 11 fiel gleich dreimal. Angelboy und TwinkleStar03 (im Rahmen des DEVCORE Internship Program), Marcin Wiązowski sowie Kentaro Kawane von GMO Cybersecurity demonstrierten jeweils neue Zero-Days zur lokalen Rechteausweitung und erhielten dafür je 30.000 Dollar.

Valentina Palmiotti (chompie) von IBM X-Force Offensive Research (XOR) erlangte mit einem Angriff Root-Rechte auf Red Hat Linux for Workstations und kassierte dafür 20.000 Dollar, dazu weitere 50.000 Dollar für eine Zero-Day-Lücke im NVIDIA Container Toolkit.

Weitere erfolgreiche Versuche betrafen vor allem KI- und Container-Software: k3vg3n verkettete drei Fehler gegen LiteLLM (40.000 Dollar), Satoki Tsuji und haehae nutzten Zero-Days in NVIDIA Megatron Bridge (20.000 Dollar), Compass Security und maitai von Doyensec hackten OpenAIs Coding-Agenten Codex (je 40.000 Dollar), haehae präsentierte zudem eine Zero-Day-Lücke in Chroma (20.000 Dollar) und STARLabs SG eine in LM Studio (40.000 Dollar).

In der Gesamtwertung führt nach dem ersten Tag das DEVCORE Research Team mit 205.000 Dollar, gefolgt von Valentina Palmiotti mit 70.000 Dollar.

Am zweiten Tag wollen die Teilnehmer Zero-Days unter anderem in Microsoft SharePoint, Microsoft Exchange, Windows 11, Apple Safari, Cursor, Red Hat Enterprise Linux for Workstations, LM Studio, OpenAI Codex, LiteLLM, Anthropic Claude Code und Mozilla Firefox ausnutzen.

Nach den Regeln von Pwn2Own laufen alle Zielgeräte mit den jeweils neuesten Betriebssystemversionen, und jeder Beitrag muss das Ziel kompromittieren und die Ausführung beliebigen Codes nachweisen. Nach der Offenlegung der Schwachstellen während des Wettbewerbs haben die Hersteller 90 Tage Zeit, um Sicherheitsupdates für ihre Produkte bereitzustellen.

Zum Vergleich: Im Vorjahr vergab die Zero Day Initiative von TrendMicro 1.078.750 Dollar für 29 Zero-Day-Schwachstellen sowie einige Mehrfachfunde.

Pwn2Own Berlin 2026: Windows 11 und Microsoft Edge am ersten Tag gehackt

Ähnliche Artikel

Neueste Artikel