A mais recente edição da competição de segurança Pwn2Own Berlin 2026 chegou ao fim, deixando um rasto de 47 vulnerabilidades zero-day descobertas. Segundo as informações reveladas durante a OffensiveCon, onde o evento decorreu entre 14 e 16 de maio, os investigadores de segurança levaram para casa recompensas num total de cerca de 1,2 milhões de euros.
O foco deste ano incidiu fortemente em tecnologias empresariais e inteligência artificial. Os participantes conseguiram comprometer produtos de topo com as atualizações mais recentes instaladas, abrangendo desde navegadores web e aplicações empresariais até servidores, ambientes locais, ecossistemas na nuvem e sistemas de virtualização.
O domínio da equipa DEVCORE
Ao longo dos três dias de competição, o pódio foi conquistado pela DEVCORE, que acumulou 50,5 pontos e arrecadou cerca de 465 mil euros em prémios. A equipa demonstrou uma perícia notável ao comprometer sistemas de peso, incluindo o Microsoft SharePoint, Exchange, Microsoft Edge e Windows 11.
O maior prémio individual da edição foi entregue a Cheng-Da Tsai, também conhecido na comunidade como Orange Tsai, membro da equipa vencedora. O investigador recebeu cerca de 184 mil euros após encadear três erros para obter a execução remota de código com privilégios de sistema no Microsoft Exchange. Adicionalmente, arrecadou mais 161 mil euros ao escapar da sandbox do navegador da Microsoft.
As restantes posições de destaque foram ocupadas pela STARLabs SG, que levou cerca de 223 mil euros, e pela equipa Out Of Bounds, com prémios a rondar os 88 mil euros.
Alvos de topo e prazo de correção
Os resultados diários demonstram a intensidade do evento. Logo no primeiro dia, foram reportados 24 zero-days únicos, o que resultou na entrega de cerca de 481 mil euros. O segundo dia viu a queda de vários agentes de código de inteligência artificial e novas falhas de elevação de privilégios, somando mais 15 vulnerabilidades. A competição encerrou com a exploração do VMware ESXi através de um erro de corrupção de memória.
De notar também a prestação de Valentina Palmiotti, da IBM X-Force, que conseguiu obter acesso root no Red Hat Enterprise Linux for Workstations, bem como explorar um zero-day no NVIDIA Container Toolkit, o que lhe valeu um prémio de quase 65 mil euros.
Com o fim do evento, as empresas responsáveis pelos softwares visados têm agora um prazo restrito de 90 dias para desenvolver e lançar as respetivas correções de segurança. Só após este período é que a Zero Day Initiative (ZDI) da TrendMicro irá divulgar publicamente os detalhes técnicos das vulnerabilidades, garantindo assim que os utilizadores e administradores de sistemas têm tempo para se protegerem adequadamente.
Nenhum comentário
Seja o primeiro!