Pwn2Own Berlin 2026: Microsoft Exchange und Windows 11 am zweiten Tag geknackt

Zusammenfassung

Beim Hacking-Wettbewerb Pwn2Own Berlin 2026 haben Sicherheitsforscher am zweiten Tag 15 einzigartige Zero-Day-Schwachstellen ausgenutzt und dafür Preisgelder in Höhe von 385.750 US-Dollar erhalten. Betroffen waren mehrere Produkte, darunter Windows 11, Microsoft Exchange und Red Hat Enterprise Linux for Workstations. Der Wettbewerb findet im Rahmen der Konferenz OffensiveCon vom 14. bis 16. Mai statt und richtet den Fokus auf Unternehmenstechnologien und künstliche Intelligenz. Insgesamt können die Teilnehmer mehr als eine Million US-Dollar an Bar- und Sachpreisen verdienen, indem sie vollständig gepatchte Produkte in Kategorien wie Webbrowser, Unternehmensanwendungen, Cloud-native- und Container-Umgebungen, Virtualisierung, lokale Rechteausweitung, Server sowie lokale Inferenz und große Sprachmodelle kompromittieren. Nach den Regeln laufen alle anvisierten Geräte mit der jeweils aktuellsten Betriebssystemversion, und jeder Beitrag muss das Ziel kompromittieren und die Ausführung beliebigen Codes belegen. Die Hersteller haben nach der Offenlegung der Zero-Days bei Pwn2Own 90 Tage Zeit, um ihre Software und Hardware abzusichern. Den Höhepunkt des zweiten Tages bildete ein Angriff auf Microsoft Exchange, der dem Forscher die höchste Einzelprämie des Tages einbrachte.

Den größten Erfolg des zweiten Tages verbuchte Cheng-Da Tsai, auch bekannt als Orange Tsai, vom DEVCORE Research Team. Er verkettete drei Schwachstellen, um auf Microsoft Exchange Code mit SYSTEM-Rechten aus der Ferne auszuführen, und erhielt dafür 200.000 US-Dollar.

Weitere Teilnehmer waren am selben Tag erfolgreich: Siyeon Wi nutzte einen Integer-Overflow-Fehler aus, um Windows 11 zu kompromittieren, und erhielt 7.500 US-Dollar. Ben Koo vom Team DDOS verschaffte sich auf Red Hat Enterprise Linux for Workstations Root-Rechte und verdiente 10.000 US-Dollar. 0xDACA und Noam Trobishi setzten eine Use-after-free-Schwachstelle ein, um das NVIDIA Container Toolkit anzugreifen.

In der KI-Kategorie hackte Le Duc Anh Vu von Viettel Cyber Security den KI-Coding-Agenten Cursor und erhielt dafür 30.000 US-Dollar. Sina Kheirkhah vom Summoning Team führte einen Zero-Day in OpenAI Codex vor (20.000 US-Dollar), und Compass Security nutzte ebenfalls Cursor aus (15.000 US-Dollar).

Bereits am ersten Tag hatte Orange Tsai 175.000 US-Dollar verdient, indem er vier Logikfehler zu einem Sandbox-Ausbruch aus Microsoft Edge verkettete. Valentina Palmiotti (chompie) von IBM X-Force Offensive Research erhielt 20.000 US-Dollar für das Erlangen von Root-Rechten auf Red Hat Linux for Workstations sowie 50.000 US-Dollar für einen Zero-Day im NVIDIA Container Toolkit.

Windows 11 wurde am ersten Tag zudem dreimal kompromittiert – durch Angelboy und TwinkleStar03 (im Rahmen des DEVCORE Internship Program), durch Kentaro Kawane von GMO Cybersecurity sowie durch Marcin Wiązowski. Jeder von ihnen erhielt 30.000 US-Dollar für neue Zero-Days zur Rechteausweitung.

Am dritten Tag von Pwn2Own nehmen die Teilnehmer Microsoft Windows 11, VMware ESXi, Red Hat Enterprise Linux, Microsoft SharePoint sowie mehrere KI-Coding-Agenten ins Visier. Zum Vergleich: Beim Wettbewerb des Vorjahres in Berlin schüttete die Zero Day Initiative von TrendMicro 1.078.750 US-Dollar für 29 Zero-Day-Schwachstellen aus, wobei es auch zu einigen Mehrfachfunden derselben Lücke kam.

Pwn2Own Berlin 2026: Microsoft Exchange und Windows 11 am zweiten Tag geknackt

Ähnliche Artikel

Neueste Artikel