Pwn2Own Berlín 2025: Windows 11, VMware, Firefox y otros fueron hackeados

El inicio de Pwn2Own Berlín 2025, celebrado en la conferencia OffensiveCon, ha concluido sus dos primeros días con logros notables en la investigación en ciberseguridad. Se han otorgado un total de 695.000 dólares para 39 vulnerabilidades de día cero únicas, y la jornada final está prevista para el sábado 17 de mayo.

El 15 de mayo, la competencia comenzó con 11 intentos de exploit, incluyendo la primera categoría de IA. Los investigadores ganaron $260,000 por demostraciones exitosas en diversas plataformas.

• Windows 11: Chen Le Qi de STAR Labs SG combinó un uso después de la liberación y un desbordamiento de enteros para escalar privilegios al SISTEMA, ganando $30,000 y 3 puntos Master of Pwn.

• Red Hat Linux : Pumpkin del equipo de investigación DEVCORE explotó un desbordamiento de enteros para escalar privilegios, obteniendo $20 000 y 2 puntos.

• Oracle VirtualBox: Team Prison Break logró escapar de una máquina virtual a través de un desbordamiento de enteros, recibiendo $40,000 y 4 puntos.

• Docker Desktop: Billy y Ramdhan de STAR Labs demostraron una fuga de contenedores utilizando una vulnerabilidad del kernel de Linux, ganando $60,000 y 6 puntos.

• Categoría IA: Sina Kheirkhah del Summoning Team explotó la base de datos de la aplicación Chroma AI, marcando el primer éxito en esta categoría y ganando $20,000 y 2 puntos.

Se otorgaron premios adicionales por otros exploits exitosos, incluido un error de confusión de tipos en Windows 11 por Hyeonjin Choi de Out Of Bounds, quien ganó $ 15,000 y 3 puntos.

El segundo día, 16 de mayo, los investigadores descubrieron 20 vulnerabilidades únicas de día cero, lo que resultó en premios por 435.000 dólares.

• Microsoft SharePoint: Dinh Ho Anh Khoa de Viettel Cyber ​​Security combinó una omisión de autenticación y una deserialización insegura para explotar SharePoint, ganando $100,000 y 10 puntos.

• VMware ESXi: Synacktiv demostró una explotación exitosa, asegurando $80,000 y 8 puntos.

• Servidor de inferencia NVIDIA Triton: Mohand Acherir y Patrick Ventuzelo de FuzzingLabs ganaron $15,000 y 1,5 puntos por su exploit, que era una vulnerabilidad conocida pero sin parche.

Otros exploits exitosos incluyeron ataques a Firefox, Redis y otros sistemas de inteligencia artificial. SecurityWeek

Concluyendo el segundo día de #Pwn2Own Berlín 2025. ¡Hemos otorgado $695,000 para 20 días cero únicos, y aún queda un día! pic.twitter.com/x2oBfaSfKS

— Iniciativa Trend Zero Day (@thezdi) 16 de mayo de 2025

Se espera que el último día, sábado 17 de mayo, se presenten los intentos restantes programados, incluyendo nuevas vulnerabilidades en categorías de IA y otros objetivos de alto perfil. Con $695,000 ya entregados, se proyecta que el premio total supere el millón de dólares.

Al finalizar el segundo día, STAR Labs SG lideraba la clasificación de Master of Pwn, tras demostrar múltiples hazañas exitosas en diversas categorías. La clasificación final se determinará tras la conclusión del tercer día.

Pwn2Own Berlín 2025 ha puesto de manifiesto los crecientes desafíos en ciberseguridad , destacando la importancia de la investigación proactiva de vulnerabilidades. La introducción de la categoría de IA refleja el creciente enfoque en la protección de las tecnologías emergentes.

Nota: La información anterior se basa en los últimos datos disponibles del evento Pwn2Own Berlín 2025. Para obtener resultados detallados y actualizaciones, consulte el blog oficial de la Iniciativa Zero Day.