Zero-day e oltre! Al Pwn2Own di TrendAI, 523.000$ assegnati: violati Windows ed Edge

La competizione Pwn2Own Berlin 2026 è iniziata con i bug hunter che hanno già guadagnato 523.000 dollari dimostrando 24 vulnerabilità zero-day uniche in tecnologie aziendali e intelligenza artificiale. Interessanti due bug di sicurezza rilevati su Microsoft Windows e su Microsoft Edge. Ora si passa ad altre ed importanti suite per ufficio.

Il mondo degli zero-day non è solo broker, attacchi alle infrastrutture critiche per scopi opportunistici o per cyber-warfare. E’ possibile da queste “armi cibernetiche“, creare community, ragazzi che si sfidano nel trovarli, tutto esclusivamente sotto il grande ombrello della Coordinated Vulnerability Disclosure (CVD).

E questo accade da diversi anni al Pwn2Own, il “circus” degli zero-day che ora si sta svolgendo a Berlino. La manifestazione organizzata da TrendAI, è dedicata all’hacking etico di tecnologie aziendali e intelligenza artificiale.

Il primo giorno, i ricercatori si sono aggiudicati 523.000 dollari dimostrando 24 vulnerabilità zero-day uniche in Windows, browser, strumenti LLM e soluzioni di containerizzazione.

Il momento più importante della prima giornata di gara è stato l’attacco del ricercatore Orange Tsai, che è riuscito a violare Microsoft Edge concatenando quattro bug logici.

Di conseguenza, è riuscito a eludere la sandbox del browser. Lo specialista ha ricevuto 175.000 dollari per questo attacco.

Anche Windows 11 è stato compromesso tre volte. Il team di ricerca DEVCORE, GMO Cybersecurity e l’esperto di sicurezza Marcin Wiązowski hanno dimostrato nuove vulnerabilità di escalation dei privilegi e hanno ricevuto 30.000 dollari ciascuno per il loro lavoro.

Valentina Palmiotti, nota con il soprannome di “chompie“, si è distinta nella competizione IBM X-Force Offensive Research (XOR). Ha vinto 20.000 dollari per aver violato Red Hat Linux per Workstation e altri 50.000 dollari per aver scoperto una vulnerabilità zero-day in NVIDIA Container Toolkit.

Tra gli altri attacchi andati a buon fine il primo giorno si annoverano:

• Il ricercatore k3vg3n ha guadagnato 40.000 dollari per una serie di tre bug in LiteLLM;
• Satoki Tsuji e haehae hanno ricevuto 20.000 dollari per aver sfruttato una vulnerabilità zero-day nel bridge Megatron di NVIDIA;
• Compass Security e maitai di Doyensec hanno compromesso l’agente AI OpenAI Codex e hanno ricevuto 40.000 dollari ciascuno per questo;
• Il già citato haehae ha avuto anche un evento zero-day in Chroma, che gli ha fruttato altri 20.000 dollari;
• Il team STARLabs SG ha ricevuto 40.000 dollari per aver attaccato LM Studio.

Dopo il primo giorno, il DEVCORE Research Team è in testa con 205.000 dollari e 20,5 punti Master of Pwn. Valentina Palmiotti è al secondo posto con 70.000 dollari di premio e 7 punti Master of Pwn.

Nel secondo giorno della competizione, i partecipanti tenteranno di attaccare Microsoft SharePoint, Microsoft Exchange, Windows 11, Safari, Firefox, Cursor, OpenAI Codex, Anthropic Claude Code, LiteLLM e altri prodotti.

Secondo il regolamento della competizione, tutti i target devono essere eseguiti su versioni completamente aggiornate del sistema operativo e del software, e i partecipanti sono tenuti a dimostrare la piena esecuzione di codice arbitrario.

Successivamente, i fornitori hanno 90 giorni di tempo per rilasciare patch per i prodotti vulnerabili, dopodiché i rappresentanti della Trend Micro Zero Day Initiative renderanno pubblici i dettagli delle vulnerabilità zero-day dimostrate nella competizione.

Ricordiamo che lo scorso anno gli organizzatori di Pwn2Own hanno pagato ai ricercatori 1.078.750 dollari per aver scoperto 28 vulnerabilità zero-day uniche.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione