Pwn2Own Berlin 2026 si è concluso con la scoperta di 47 vulnerabilità zero-day e premi per 1,298 milioni di dollari. I ricercatori hanno compromesso sistemi aggiornati come Windows 11, Microsoft Exchange, VMware ESXi e piattaforme AI, dimostrando exploit reali contro tecnologie utilizzate in ambienti enterprise.
Alla recente edizione della competizione Pwn2Own Berlin 2026, i ricercatori di sicurezza hanno vinto 1.298.250 dollari dimostrando lo sfruttamento di 47 vulnerabilità zero-day uniche. La competizione di quest’anno si è concentrata sulle tecnologie aziendali e sull’intelligenza artificiale, con obiettivi quali Windows 11, Microsoft Exchange, VMware ESXi, browser, ambienti container e strumenti LLM.
La competizione si è svolta a Berlino la scorsa settimana, dal 14 al 16 maggio, nell’ambito della conferenza OffensiveCon. I partecipanti hanno attaccato prodotti completamente aggiornati nelle categorie di browser, software aziendale, server, ambienti container, intelligenza artificiale e altro ancora.
Solo nel primo giorno , i ricercatori hanno guadagnato 523.000 dollari dimostrando 24 exploit zero-day unici, tra cui una fuga dalla sandbox di Microsoft Edge realizzata tramite una catena di quattro bug logici.
Advertising
Il secondo giorno, il montepremi è stato di altri 385.750 dollari per 15 bug, tra cui spiccano tre bug che permettevano l’esecuzione di codice in remoto con privilegi di sistema in Microsoft Exchange. Questa vulnerabilità è stata sfruttata da Cheng-Da Tsai del gruppo di ricerca DEVCORE, che gli ha fruttato 200.000 dollari. I partecipanti hanno anche dimostrato diverse vulnerabilità zero-day negli assistenti di programmazione basati sull’intelligenza artificiale.
Nella fase finale, i partecipanti hanno ricevuto altri 389.500 dollari per aver individuato ulteriori otto vulnerabilità, tra cui il re-hacking di Windows 11 e Red Hat Enterprise Linux per Workstation, nonché lo sfruttamento di una vulnerabilità di corruzione della memoria in VMware ESXi.
Di conseguenza, il team di ricerca DEVCORE ha vinto Pwn2Own Berlin 2026, totalizzando 50,5 punti Master of Pwn e aggiudicandosi un premio di 505.000 dollari. I ricercatori sono riusciti ad attaccare Microsoft SharePoint, Microsoft Exchange, Microsoft Edge e Windows 11.
STARLabs SG si è classificata seconda con 242.500 dollari e 25 punti, mentre Out Of Bounds è arrivata terza con 95.750 dollari e 12,75 punti.
Il premio più alto di quest’anno, pari a 200.000 dollari, è stato assegnato al già citato Cheng-Da Tsai, noto anche con lo pseudonimo di Orange Tsai, dal team DEVCORE. Inoltre, il primo giorno, Orange Tsai ha guadagnato altri 175.000 dollari per la già citata fuga dalla sandbox di Microsoft Edge, sfruttando una serie di quattro errori logici.
Advertising
I produttori hanno ora 90 giorni di tempo per rilasciare le patch. Trascorso tale periodo, gli specialisti della Trend Micro Zero Day Initiative renderanno pubblici i dettagli di tutte le vulnerabilità emerse durante la competizione.
Ricordiamo che, alla Pwn2Own Berlin dello scorso anno, i ricercatori hanno guadagnato 1.078.750 dollari sfruttando 28 vulnerabilità zero-day uniche. Il team STARLabs SG si è aggiudicato il premio.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza:Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.