Kontes peretasan Pwn2Own Berlin 2026 telah berakhir, dengan peneliti keamanan mengumpulkan hadiah sebesar $1,298,250 setelah mengeksploitasi 47 kelemahan zero-day.
Kompetisi berlangsung di Serangan Serangan konferensi dari 14 Mei hingga 16 Mei dan berfokus pada teknologi perusahaan dan kecerdasan buatan.
Sepanjang kontes, para peretas menargetkan produk yang telah dipatch sepenuhnya di seluruh browser web, aplikasi perusahaan, eskalasi hak lokal, server, inferensi lokal, lingkungan cloud-native/container, virtualisasi, dan kategori LLM.
Pesaing mengumpulkan $523.000 dalam bentuk hadiah uang tunai hari pertama untuk 24 zero-day unik, dan tambahan $385.750 hari kedua untuk mengeksploitasi 15 zero-day. Pada hari ketiga dari Pwn2Own, mereka memperoleh $389.500 lagi untuk delapan zero-day lagi.
DEVCORE memenangkan Pwn2Own Berlin edisi tahun ini dengan 50,5 poin Master of Pwn dan hadiah $505.000 selama kontes tiga hari setelah meretas Microsoft SharePoint, Microsoft Exchange, Microsoft Edge, dan Windows 11, diikuti oleh STARLabs SG dengan $242.500 (25 poin) dan Out Of Bounds dengan $95.750 (12,75 poin).
Hadiah tertinggi kompetisi ini adalah $200.000, diberikan kepada Cheng-Da Tsai (juga dikenal sebagai Orange Tsai) dari Tim Peneliti DEVCORE setelahnya merantai tiga bug untuk mendapatkan eksekusi kode jarak jauh dengan hak istimewa SISTEM di Microsoft Exchange.
Pada hari pertamaOrange Tsai mendapatkan $175.000 lagi untuk pelarian sandbox Microsoft Edge yang merangkai 4 bug logika, Windows 11 diretas 3 kali, dan Valentina Palmiotti (chompie) dari IBM X-Force Offensive Research mengumpulkan $70.000 untuk rooting Red Hat Linux for Workstations dan NVIDIA Container Toolkit zero-day.
Pada hari keduapara peretas menunjukkan kerentanan eskalasi hak istimewa lokal Windows 11 lainnya, kerentanan eskalasi hak istimewa root di Red Hat Enterprise Linux untuk Workstation, dan zero-day di beberapa agen pengkodean AI.
Pada yang ketiga dan hari terakhir kontes, para pesaing kembali meretas Windows 11 dan Red Hat Enterprise Linux untuk Workstations, dan menggunakan bug kerusakan memori untuk mengeksploitasi VMware ESXi.
Setelah Pwn2Own berakhir, vendor memiliki waktu 90 hari untuk merilis patch keamanan sebelum Zero Day Initiative (ZDI) dari TrendMicro mengungkapkannya secara publik.
Selama tahun lalu Kontes Pwn2Own Berlindimenangkan oleh tim STAR Labs SG, ZDI memberikan 1.078.750 untuk 29 kelemahan zero-day dan beberapa tabrakan bug.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
