En el segundo día de PWN2Own Berlin 2025, los investigadores de seguridad descubrieron vulnerabilidades críticas de día cero en las principales plataformas empresariales, ganando un increíble premio de $ 435,000.
La competencia, celebrada en la Conferencia Offensivecon, fue testigo del éxito de los exploits contra VMware ESXI, Microsoft SharePoint, Mozilla Firefox y Red Hat Enterprise Linux, lo que demuestra una brecha de seguridad crítica en el software empresarial ampliamente utilizado.
Con un logro histórico, Nguyen Hoang Thach de Starlabs SG publicó el primer exitoso exploit de VMware ESXI en la historia de PWN2OWN. Utilizando una sola vulnerabilidad de desbordamiento entero, Thach comprometió la plataforma de virtualización, ganando $ 150,000 y 15 Puntos Master of PWN.
Esta impactante vulnerabilidad en ESXI está particularmente preocupada porque Hypervisor está ampliamente implementado en centros de datos empresariales en todo el mundo.
Microsoft SharePoint ha demostrado ser igualmente vulnerable cuando el Dinh Ho Anh Khoa de Viettel Cyber Security verifica el bypass de autenticación con un error de escape inestable y verifica el derivación de la autenticación para obtener acceso no autorizado. Exploit le anotó $ 100,000 y 10 puntos PWN.
Como plataforma de colaboración integrada con el entorno Microsoft 365, esta vulnerabilidad de SharePoint representa un riesgo significativo para la seguridad de datos de su organización.
Los investigadores de la red Palo Alto Eduard Bochin y Taoyan también comprometieron la seguridad de su navegador, ya que demostraron la vulnerabilidad de la vulnerabilidad de Mozilla Firefox, ganando $ 50,000 y cinco Master of PWN Puntos. Las exploits del navegador destacan los riesgos continuos en el software del lado del cliente a pesar de años de rigidez de seguridad.
Red Hat Enterprise Linux ha caído en Gerrard Tai en Starlabs SG. Explotó un error delgado para aumentar los privilegios, asegurar $ 10,000 e integrar más leads con los Masters of PWN Rankings.
¡Confirmado! Gerrard Tai de Star Labs SG Pte. Ltd intensificó los privilegios de Red Hat Enterprise Linux usando un error gratuito. Su victoria de 3 rondas les ganará dos maestros de $ 10,000 y puntos PWN. pic.twitter.com/bxmkznz0lj
– Iniciativa de día de tendencia cero (@thezdi) 16 de mayo de 2025
La categoría AI recién introducida continuó atrayendo hazañas exitosas. Benny Isaacs, Nir Brakha y Sagi Tzadik de Wiz Research usaron Redis usando una vulnerabilidad delgada para ganar $ 40,000 y 4 puntos PWN maestros.
Ho Xuan Ninh y Tri Dang de Qurious Secure verificaron cuatro errores diferentes para comprometerse en el servidor de inferencia Triton de Nvidia y recibieron $ 30,000 y 3 puntos.
“¡Y eso concluye el segundo día! Otorgamos $ 435,000, lo que lleva el concurso a un total de $ 695,000”, anunció la iniciativa Zero Day, que dirige la competencia. “El tercer día todavía está aquí, por lo que hay una gran posibilidad de que alcancemos el umbral de $ 1,000,000”.
La competencia descubrió 20 vulnerabilidades únicas de día cero durante dos días, y Star Labs estableció una ventaja aparentemente insuperable con el ranking Master of PWN.
Oracle Virtualbox también se explotó con éxito cuando Viettel Cyber Security demostró un escape de invitado a host usando una posible vulnerabilidad de escritura y ganó $ 40,000.
El tercer día de la competencia continuará el sábado 17 de mayo, dejando intentos programados en Windows 11, Oracle Virtualbox, VMware Products, Mozilla Firefox y Nvidia Systems.
Todas las vulnerabilidades demostradas durante el concurso se divulgan responsablemente al proveedor durante 90 días para liberar correcciones de seguridad antes de liberar detalles técnicos.
Esta primera edición de Berlín de PWN2OWN es la primera en competir en la categoría de IA, lo que refleja las crecientes preocupaciones sobre la seguridad de las tecnologías emergentes.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
