Pwn2Own Berlin 2026 shock: scoperti 47 zero-day e distribuiti quasi 1,3 milioni di dollari

Pwn2Own Berlin 2026 si è concluso con la scoperta di 47 vulnerabilità zero-day e premi per 1,298 milioni di dollari. I ricercatori hanno compromesso sistemi aggiornati come Windows 11, Microsoft Exchange, VMware ESXi e piattaforme AI, dimostrando exploit reali contro tecnologie utilizzate in ambienti enterprise.

Alla recente edizione della competizione Pwn2Own Berlin 2026, i ricercatori di sicurezza hanno vinto 1.298.250 dollari dimostrando lo sfruttamento di 47 vulnerabilità zero-day uniche. La competizione di quest’anno si è concentrata sulle tecnologie aziendali e sull’intelligenza artificiale, con obiettivi quali Windows 11, Microsoft Exchange, VMware ESXi, browser, ambienti container e strumenti LLM.

La competizione si è svolta a Berlino la scorsa settimana, dal 14 al 16 maggio, nell’ambito della conferenza OffensiveCon. I partecipanti hanno attaccato prodotti completamente aggiornati nelle categorie di browser, software aziendale, server, ambienti container, intelligenza artificiale e altro ancora.

Solo nel primo giorno , i ricercatori hanno guadagnato 523.000 dollari dimostrando 24 exploit zero-day unici, tra cui una fuga dalla sandbox di Microsoft Edge realizzata tramite una catena di quattro bug logici.

Il secondo giorno, il montepremi è stato di altri 385.750 dollari per 15 bug, tra cui spiccano tre bug che permettevano l’esecuzione di codice in remoto con privilegi di sistema in Microsoft Exchange. Questa vulnerabilità è stata sfruttata da Cheng-Da Tsai del gruppo di ricerca DEVCORE, che gli ha fruttato 200.000 dollari. I partecipanti hanno anche dimostrato diverse vulnerabilità zero-day negli assistenti di programmazione basati sull’intelligenza artificiale.

Nella fase finale, i partecipanti hanno ricevuto altri 389.500 dollari per aver individuato ulteriori otto vulnerabilità, tra cui il re-hacking di Windows 11 e Red Hat Enterprise Linux per Workstation, nonché lo sfruttamento di una vulnerabilità di corruzione della memoria in VMware ESXi.

Di conseguenza, il team di ricerca DEVCORE ha vinto Pwn2Own Berlin 2026, totalizzando 50,5 punti Master of Pwn e aggiudicandosi un premio di 505.000 dollari. I ricercatori sono riusciti ad attaccare Microsoft SharePoint, Microsoft Exchange, Microsoft Edge e Windows 11.

STARLabs SG si è classificata seconda con 242.500 dollari e 25 punti, mentre Out Of Bounds è arrivata terza con 95.750 dollari e 12,75 punti.

Il premio più alto di quest’anno, pari a 200.000 dollari, è stato assegnato al già citato Cheng-Da Tsai, noto anche con lo pseudonimo di Orange Tsai, dal team DEVCORE. Inoltre, il primo giorno, Orange Tsai ha guadagnato altri 175.000 dollari per la già citata fuga dalla sandbox di Microsoft Edge, sfruttando una serie di quattro errori logici.

I produttori hanno ora 90 giorni di tempo per rilasciare le patch. Trascorso tale periodo, gli specialisti della Trend Micro Zero Day Initiative renderanno pubblici i dettagli di tutte le vulnerabilità emerse durante la competizione.

Ricordiamo che, alla Pwn2Own Berlin dello scorso anno, i ricercatori hanno guadagnato 1.078.750 dollari sfruttando 28 vulnerabilità zero-day uniche. Il team STARLabs SG si è aggiudicato il premio.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response