SchwachstellenCyberkriminalitätCloud-Sicherheit

Pwn2Own Berlin 2026: Microsoft Exchange und Windows 11 gehackt – Sicherheitsforschern winken über eine Million Dollar

Von CyberDeutsch Redaktion
Pwn2Own Berlin 2026: Microsoft Exchange und Windows 11 gehackt – Sicherheitsforschern winken über eine Million Dollar
Zusammenfassung

Beim internationalen Hacking-Wettbewerb Pwn2Own Berlin 2026 sind am zweiten Veranstaltungstag 15 bislang unbekannte Sicherheitslücken in prominenten Microsoft-Produkten und anderer Enterprise-Software ausgenutzt worden. Sicherheitsforscher demonstrierten Zero-Day-Exploits gegen Windows 11, Microsoft Exchange und Red Hat Enterprise Linux und sicherten sich dafür insgesamt 385.750 US-Dollar. Besonders bemerkenswert ist die Kettenreaktion von drei Sicherheitslücken in Microsoft Exchange, mit der ein Angreifer System-Privilegien erlangen konnte – hierfür wurden 200.000 Dollar vergeben. Solche Wettbewerbe wie Pwn2Own sind für die IT-Sicherheit von globaler Bedeutung: Sie decken kritische Schwachstellen auf, die Millionen von Nutzern, Unternehmen und Behörden weltweit betreffen. Für deutsche Organisationen ist dies hochrelevant, da Windows 11 und Microsoft Exchange weit verbreitet sind. Die betroffenen Hersteller haben nun 90 Tage Zeit, Patches zu entwickeln – eine kritische Phase, in der sich das Risiko von Cyberangriffen deutlich erhöht. Deutsche Unternehmen und Behörden sollten diese Frist zur Vorbereitung nutzen und ihre Systeme zeitnah aktualisieren, um sich vor möglichen Exploitierungen dieser Zero-Days zu schützen.

Der Sicherheitswettbewerb Pwn2Own gilt als einer der schwierigsten und prestigeträchtigsten Hacking-Contests weltweit. Am zweiten Turniertag stellten Sicherheitsforschende erneut ihre Expertise unter Beweis: Sie demonstrierten, wie sie mit gezielten Angriffskettten kritische Infrastruktur-Software übernehmen können.

Herausragend war die Leistung von Cheng-Da Tsai des DEVCORE Research Team. Der Sicherheitsforscher verkettete geschickt drei separate Bugs und gewann damit 200.000 Dollar für den Remote-Code-Execution-Angriff auf Microsoft Exchange – mit SYSTEM-Privilegien. Dies ist besonders brisant, da Exchange in vielen deutschen Unternehmen und Behörden als Mail-Server eingesetzt wird.

Auch Windows 11 erwies sich nicht als ausreichend sicher. Siyeon Wi nutzte einen Integer-Overflow-Bug aus und kassierte 7.500 Dollar. Dies war jedoch nicht der erste Windows-11-Hack des Wettbewerbs: Am ersten Turniertag hatten drei weitere Forscher das Microsoft-Betriebssystem mit Privilege-Escalation-Lücken gehackt und je 30.000 Dollar verdient.

Bemerkenswert ist auch die Breite der Angriffsfläche: Neben klassischen Enterprise-Software wurden auch KI-Systeme erfolgreich angegriffen. Le Duc Anh Vu hackzte die Cursor-AI-Kodierungsumgebung für 30.000 Dollar, während andere Forscher Zero-Days in OpenAI Codex ausnutzten.

Das Regelwerk von Pwn2Own verpflichtet die betroffenen Hersteller, ihre Software innerhalb von 90 Tagen nach der Offenlegung zu patchen. Microsoft, Red Hat und NVIDIA werden damit unter Druck gesetzt, schnell Sicherheitsupdates bereitzustellen.

Für deutsche IT-Sicherheitsverantwortliche ist dies ein wichtiges Warnzeichen: Auch neueste Betriebssysteme und Enterprise-Software bieten keine hundertprozentige Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird diese Erkenntnisse in seine Sicherheitsempfehlungen einarbeiten. Organisationen sollten bereits jetzt verstärkte Überwachungsmechanismen implementieren und ihre Incident-Response-Prozesse optimieren. Der Gesamtpreispot für Pwn2Own Berlin 2026 beträgt über eine Million Dollar – ein Zeichen dafür, wie wertvoll Zero-Day-Informationen für die Sicherheitsforschung sind.

Ähnliche Artikel