Hacking, hacking, hacking! Al Pwn2Own non si scherza: è qui che l’élite mondiale della cybersicurezza mostra quanto sia fragile il mondo digitale. In palio? Fama, gloria… e più di un milione di dollari in premi per gli zero-day scoperti!
Nel primo giorno della competizione di hacking Pwn2Own Berlin 2025, i ricercatori sono riusciti a guadagnare 260.000 dollari dimostrando catene di vulnerabilità zero-day in Windows 11, Red Hat Linux e Oracle VirtualBox. Organizzato durante la conferenza OffensiveCon, il torneo di quest’anno si concentra sull’hacking delle tecnologie aziendali e include per la prima volta una categoria di attacchi basati sull’intelligenza artificiale.
Uno dei primi ad essere colpito è stato Red Hat Enterprise Linux for Workstations. Un membro del team di ricerca DEVCORE che utilizzava lo pseudonimo Pumpkin è riuscito a eseguire un’escalation di privilegi locali tramite un integer overflow e ha ricevuto 20.000 dollari per aver dimostrato l’exploit.
CORSO NIS2 : Network and Information system 2 La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita. Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Hyunwoo Kim e Wonghee Lee hanno ottenuto risultati simili. Tuttavia, in questo tentativo, uno dei collegamenti si è rivelato essere una vulnerabilità nota (N-day), motivo per cui è stato considerato una “collisione” con un errore già documentato, piuttosto che una scoperta completa.
Anche Windows 11 è risultato vulnerabile. Chen Le Qi di STARLabs SG ha ricevuto 30.000 $ per aver aumentato con successo i privilegi a SYSTEM tramite una catena use-after-free e un integer overflow. Il sistema è stato compromesso altre due volte: Marcin Wiązowski ha sfruttato un bug di scrittura fuori limite e Hyunjin Choi ha dimostrato un attacco di type confusion.
Il Team Prison Break ha dato un contributo significativo all’ammontare delle ricompense. Sono riusciti a uscire dall’isolamento di Oracle VirtualBox e ad eseguire codice arbitrario sul sistema host utilizzando un integer overflow, guadagnando 40.000 dollari. Questa direzione è tradizionalmente considerata difficile, poiché richiede non solo il superamento della sandbox, ma anche un controllo affidabile dell’esecuzione sul sistema operativo sottostante.
Inoltre, il primo giorno di gara, sono stati hackerati degli strumenti di intelligenza artificiale. Sina Heirhach del Summoning Team ha ricevuto 35.000 dollari per aver sfruttato una vulnerabilità zero-day in Chroma e un bug noto in Nvidia Triton Inference Server. Billy e Ramdhan, membri di STARLabs SG, hanno impiegato 60.000 dollari per uscire da Docker Desktop ed eseguire codice sull’host sfruttando una vulnerabilità di tipo use-after-free.
L’hackathon durerà fino al 17 maggio e il secondo giorno i partecipanti tenteranno di compromettere Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Oracle VirtualBox e Red Hat Linux. Tutti i prodotti vengono tenuti aggiornati, il che sottolinea l’importanza di ogni 0day che viene dimostrato. I produttori hanno 90 giorni di tempo per rilasciare gli aggiornamenti dopo che le vulnerabilità sono state ufficialmente divulgate.
In totale, a Berlino 2025 sono in palio più di un milione di dollari. Le categorie di attacco non riguardano solo browser e virtualizzazione, ma anche applicazioni aziendali, infrastrutture cloud, automobili e intelligenza artificiale. Sebbene nell’elenco degli obiettivi figurino anche le unità di prova Tesla Model 3 (2024) e Model Y (2025), finora non è stato registrato alcun tentativo di attacco contro di esse.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Hacking, hacking, hacking! Al Pwn2Own non si scherza: è qui che l’élite mondiale della cybersicurezza mostra quanto sia fragile il mondo digitale. In palio? Fama, gloria… e pi&...
Negli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei di...
Un nuovo nome sta guadagnando rapidamente visibilità nei meandri del cybercrime underground: Machine1337, un attore malevolo attivo sul noto forum underground chiuso XSS, dove ha pubblicato una s...
La più grande azienda siderurgica statunitense, Nucor, ha temporaneamente sospeso le attività in diversi suoi stabilimenti dopo che la sua infrastruttura IT interna è stata attaccata. L...
Un’onda d’urto tra vulnerabilità, webshell e gruppi ransomware Il 14 maggio 2025, il team di intelligence di ReliaQuest ha aggiornato la propria valutazione su una pericolosa vulner...
