La competizione di hacking etico della Zero Day Initiative ha premiato 47 falle inedite in Windows, Exchange, VMware e tool AI; il team taiwanese ha vinto 505.000 dollari e il titolo di Master of Pwn.
Autore: Redazione SecurityOpenLab
Tre giorni, 47 vulnerabilità scoperte, 1.298.250 dollari distribuiti a ricercatori di sicurezza provenienti da tutto il mondo. Sono i numeri di Pwn2Own Berlino 2026, la competizione organizzata dalla Zero Day Initiative (ZDI) di TrendAI. Si è trattato di un'edizione da record, che ha superato del 20% i risultati dell'anno precedente e ha messo il pubblico davanti al dato di fatto che software considerati sicuri e aggiornati si sono rivelati vulnerabili in condizioni controllate, con implicazioni per chiunque li utilizzi.
Pwn2Own è una celebre gara di hacking etico nata nel 2007 che porta i ricercatori di sicurezza a sfidarsi per trovare e sfruttare falle in software e hardware aggiornati all'ultima versione disponibile. Le vulnerabilità che emergono vengono classificate come zero-day e tutti i dettagli tecnici relativi sono consegnati ai produttori coinvolti, di modo che possano chiuderle prima che le informazioni diventino pubbliche.
Il gruppo taiwanese DevCore ha dominato la competizione, conquistando il titolo di Master of Pwn con 50,5 punti e 505.000 dollari di premi. La performance di punta è stata quella del ricercatore Cheng-Da Tsai, noto come Orange Tsai, che nel corso dei tre giorni ha collezionato due dei premi più ambiti della competizione. In particolare, Tsai ha violato il browser Microsoft Edge incatenando quattro errori logici per sfuggire alla sandbox che dovrebbe impedire al browser di accedere al resto del sistema. La particolarità tecnica, sottolineata dallo stesso ricercatore, è che ha ottenuto il risultato senza usare vulnerabilità di corruzione della memoria, che è la categoria di difetti storicamente più grave.
Lo stesso ricercatore ha poi concatenato tre falle distinte per assumere il controllo completo di un server Microsoft Exchange, ottenendo i massimi privilegi di sistema in remoto. Il risultato è particolarmente rilevante perché Exchange è uno dei software di gestione della posta elettronica aziendale più diffusi al mondo, e una compromissione di questo tipo darebbe a un attaccante accesso a comunicazioni, calendari e dati riservati di un'intera organizzazione. Un altro membro di DevCore ha violato Microsoft SharePoint, la piattaforma di collaborazione e condivisione documenti, mediante lo sfruttamento di di due falle concatenate.
Il secondo posto nella classifica finale è andato al gruppo di Singapore StarLabs SG. Il loro risultato più significativo è arrivato nell'ultimo giorno della competizione, quando Nguyen Hoang Thach ha sfruttato un errore di gestione della memoria per violare VMware ESXi, la piattaforma di virtualizzazione utilizzata nei data center per eseguire più sistemi operativi sullo stesso hardware fisico. La demo includeva un'opzione aggiuntiva per eseguire codice in un contesto che teoricamente dovrebbe essere isolato dagli altri utenti della stessa infrastruttura, che è un tipo di attacco particolarmente critico in ambienti cloud condivisi.
Valentina Palmiotti del team IBM X-Force Offensive Research ha avuto la giornata più produttiva tra i singoli partecipanti nel primo giorno: 70.000 dollari in due vittorie separate, di cui 50.000 per una falla nel NVIDIA Container Toolkit, che è il componente usato per far girare i carichi di lavoro AI nei container. Il terzo posto in classifica generale è andato al gruppo Out Of Bounds.
Una delle novità più significative di questa edizione è stata l'inclusione tra i bersagli ufficiali degli assistenti di scrittura del codice basati su modelli linguistici. OpenAI Codex, Claude Code di Anthropic e LM Studio sono stati tutti compromessi. Due team separati, Compass Security e un ricercatore di Doyensec, hanno dimostrato vulnerabilità in OpenAI Codex in modo indipendente. Nel terzo giorno, un ricercatore di Ikotas Labs ha sfruttato un problema legato al controllo degli input per eseguire codice arbitrario su OpenAI Codex. Claude Code è stato al centro di due tentativi, entrambi tecnicamente riusciti, sfruttando una falla che era già stata trovata da un partecipante precedente.
A questi si aggiunge la compromissione di LiteLLM, un sistema per gestire le chiamate a diversi modelli linguistici, violato concatenando tre falle tra cui un errore di tipo server-side request forgery, che consente di far compiere al server richieste verso sistemi interni non accessibili dall'esterno. Sono stati compromessi anche Chroma, un database vettoriale usato per archiviare le rappresentazioni numeriche dei concetti nei sistemi AI; e LM Studio, una piattaforma per eseguire modelli linguistici in locale. Nvidia, sponsor dell'evento, ha messo a disposizione tre componenti della propria infrastruttura come bersagli: Megatron Bridge, NV Container Toolkit e Dynamo. Il primo è stato violato due volte da ricercatori diversi, il secondo una terza volta nell'ultimo giorno da parte del team IBM.
Nel corso dei tre giorni, Windows 11 è stato violato almeno quattro volte da team diversi tramite altrettante falle distinte, tutte nel meccanismo di gestione dei privilegi, ovvero nel componente che regola cosa un utente o un programma può fare sul sistema. Ogni dimostrazione ha riguardato una falla diversa, confermando che anche un sistema operativo aggiornato presenta più vulnerabilità di quanto si supponga. Red Hat Enterprise Linux per postazioni di lavoro è stato anch'esso compromesso più volte, incluso un caso in cui è stata sfruttata una condizione di gara nell'accesso alle risorse del sistema.
La prossima edizione della competizione, Pwn2Own Cork, è in programma per ottobre.