SchwachstellenHackerangriffeKI-Sicherheit

Pwn2Own Berlin 2026: Sicherheitsforscher finden 47 Zero-Days und verdienen 1,3 Millionen Dollar

Von CyberDeutsch Redaktion
Pwn2Own Berlin 2026: Sicherheitsforscher finden 47 Zero-Days und verdienen 1,3 Millionen Dollar
Zusammenfassung

Beim Pwn2Own Berlin 2026 haben Sicherheitsforscher einen neuen Rekord aufgestellt: Für die erfolgreiche Ausnutzung von 47 zuvor unbekannten Sicherheitslücken erhielten sie insgesamt 1,298,250 US-Dollar Prämien. Der Wettbewerb fand vom 14. bis 16. Mai auf der OffensiveCon statt und konzentrierte sich auf Enterprise-Technologien und künstliche Intelligenz. Die Hacker demonstrierten kritische Schwachstellen in weit verbreiteter Software wie Microsoft Exchange, Edge und Windows 11, die auch auf vollständig gepatchten Systemen funktionieren. Das Team DEVCORE gewann mit insgesamt 505.000 Dollar, wobei einzelne Forscher für besonders komplexe Exploits – etwa für Remote Code Execution auf Microsoft Exchange – bis zu 200.000 Dollar erhielten. Für deutsche Nutzer und Unternehmen ist dies hochrelevant: Die entdeckten Lücken betreffen Millionen von Windows-Rechnern, Microsoft-Produkten und Linux-Systemen im deutschsprachigen Raum. Nach dem Wettbewerb haben betroffene Hersteller 90 Tage Zeit, Patches zu veröffentlichen, bevor die Lücken öffentlich werden. Dies unterstreicht, wie wichtig zeitnahe Sicherheitsupdates für Unternehmen und Privatnutzer sind – insbesondere in kritischen Infrastrukturen, wo solche Zero-Days erhebliche Risiken darstellen.

Der Wettbewerb Pwn2Own Berlin 2026, der auf der OffensiveCon stattfand, zeigt das kontinuierliche Risiko, das von noch unbekannten Sicherheitslücken ausgeht. Die Organisatoren der Zero Day Initiative (ZDI) von Trend Micro vergaben insgesamt 1,298,250 Dollar für die erfolgreichen Exploits. Am ersten Wettbewerbstag sammelten die Hacker 523.000 Dollar für 24 Zero-Days ein, am zweiten Tag 385.750 Dollar für 15 weitere Lücken und am dritten Tag 389.500 Dollar für acht zusätzliche Exploits.

Das Team DEVCORE dominierte den Wettbewerb und sicherte sich mit 50,5 Master-of-Pwn-Punkten insgesamt 505.000 Dollar. Die höchste Einzelprämie von 200.000 Dollar erhielt Cheng-Da Tsai (Orange Tsai) von DEVCORE für eine Exploit-Kette gegen Microsoft Exchange, die Remote-Code-Execution mit SYSTEM-Privilegien ermöglichte. Ein weiterer Exploit desselben Forschers gegen Microsoft Edge, der eine Sandbox-Flucht demonstrierte, brachte 175.000 Dollar ein.

Besonders bemerkenswert ist die breite Palette betroffener Systeme: Microsoft SharePoint, Microsoft Exchange, Microsoft Edge, Windows 11, Red Hat Enterprise Linux, VMware ESXi und sogar KI-Coding-Agenten wurden erfolgreich kompromittiert. Dies zeigt, dass kritische Infrastruktur-Komponenten, auf die sich auch deutsche Unternehmen verlassen, erhebliche Anfälligkeiten aufweisen. STARLabs SG folgte auf Platz zwei mit 242.500 Dollar und Out of Bounds mit 95.750 Dollar.

Der Fokus auf Enterprise-Technologien und künstliche Intelligenz unterstreicht einen Trend: KI-Systeme werden zunehmend zum Ziel von Sicherheitsforschern. Windows 11 wurde während des Wettbewerbs mehrfach erfolgreich angegriffen, sowohl durch Local-Privilege-Escalation- als auch durch Remote-Code-Execution-Exploits.

Nach dem Wettbewerb haben die betroffenen Anbieter 90 Tage Zeit, um Sicherheitspatches zu veröffentlichen, bevor die Lücken öffentlich offengelegt werden. Dies ist Standard-Praxis bei der Zero Day Initiative und soll Benutzern einen angemessenen Schutzfenster geben. Im Vergleich: Bei Pwn2Own Berlin 2025 wurden nur 29 Zero-Days gefunden und 1,078,750 Dollar vergeben. Die gestiegene Anzahl und das höhere Preisgeld deuten auf die wachsende Komplexität moderner Enterprise-Software hin.

Ähnliche Artikel