Tijdens Pwn2Own Berlijn ontdekten ethische hackers 47 nieuwe zero-day kwetsbaarheden in uiteenlopende categorieën, waaronder AI-databases, codeeragenten, webbrowsers en bedrijfsapplicaties. Het evenement werd georganiseerd door Trend Micro’s Zero Day Initiative (ZDI) en voor het eerst gesponsord door NVIDIA. In totaal keerden de organisatoren ruim 1,2 miljoen dollar aan prijzengeld uit.
Pwn2Own Berlijn leverde dit jaar 47 unieke zero-day kwetsbaarheden op, verspreid over categorieën als AI-databases, codeeragenten, webbrowsers, bedrijfsapplicaties en servers. Het evenement werd georganiseerd door het Zero Day Initiative (ZDI) van Trend Micro en vond deze maand plaats in Berlijn.
NVIDIA trad dit jaar voor het eerst op als sponsor en introduceerde een eigen productcategorie. Onderzoekers konden kwetsbaarheden melden in Megatron Bridge, NV Container Toolkit en Dynamo.
Opvallende vondsten
Een van de meest in het oog springende resultaten was afkomstig van Orange Tsai van het DEVCORE Research Team. Tsai combineerde drie bugs om Remote Code Execution als SYSTEM op Microsoft Exchange te bereiken en verdiende daarmee 200.000 dollar. Hetzelfde team combineerde vier logische bugs voor een sandbox-escape op Microsoft Edge, goed voor 175.000 dollar.
Teamgenoot Splitline, ook van DEVCORE, combineerde twee bugs om Microsoft SharePoint te exploiteren en ontving 100.000 dollar. Nguyen Hoang Thach van STARLabs SG gebruikte een geheugenbeschadigingsbug om VMware ESXi te exploiteren met de Cross-tenant Code Execution add-on en verdiende 200.000 dollar en 20 Master of Pwn-punten. Chompie van IBM X-Force Offensive Research gebruikte één bug om NV Container Toolkit te exploiteren en ontving 50.000 dollar.
Van kwetsbaarheid naar patch
De meldingen via ZDI stellen leveranciers in staat kwetsbaarheden te begrijpen en te verhelpen voordat kwaadwillenden ze misbruiken. Trend Micro stelt dat klanten van Vision One via dit proces gemiddeld drie maanden eerder bescherming ontvangen dan de rest van de markt, onder meer via zogeheten virtuele patches die bescherming bieden voordat een officiële patch beschikbaar is.
Rachel Jin, Head of Trend Micro, geeft aan dat de rol van AI-tools en AI-infrastructuur in bedrijfsprocessen toeneemt en dat het vroegtijdig opsporen van kwetsbaarheden daarin volgens haar steeds belangrijker wordt.
ZDI-onderzoek laat zien dat leveranciers vaker nalaten gemelde kwetsbaarheden te verhelpen. Het centrale openbaarmakingsproces van ZDI is er mede op gericht die druk op leveranciers te verhogen.
In totaal werd 1.298.250 dollar aan prijzengeld uitgekeerd. De volgende editie van de wedstrijd, Pwn2Own Cork, staat gepland voor oktober.
