ในวันแรกของการแข่งขัน Pwn2Own Berlin 2025 นักวิจัยด้านความปลอดภัยได้รับรางวัล 260,000 เหรียญสหรัฐ หลังจากประสบความสำเร็จในการสาธิตการโจมตีช่องโหว่แบบ zero-day สำหรับ Windows 11, Red Hat Linux และ Oracle VirtualBox
Red Hat Enterprise Linux สำหรับ Workstations เป็นระบบแรกที่ถูกโจมตีสำเร็จในหมวดการยกระดับสิทธิ์บนเครื่อง โดยทีมวิจัย DEVCORE ที่ใช้ชื่อว่า Pumpkin ได้ใช้ช่องโหว่ประเภท integer overflow เพื่อโจมตี และรับเงินรางวัล 20,000 ดอลลาร์
โดย Hyunwoo Kim และ Wongi Lee ก็สามารถเข้าถึงสิทธิ์ root บนอุปกรณ์ Red Hat Linux ได้เช่นกัน ซึ่งใช้การโจมตีแบบ use-after-free ร่วมกับช่องโหว่ information leak แต่หนึ่งในช่องโหว่ที่ใช้ในการโจมตีนั้นเป็นช่องโหว่ N-day
จากนั้น Chen Le Qi จาก STARLabs SG ได้รับรางวัล 30,000 ดอลลาร์สหรัฐ จากการนำเสนอการโจมตีแบบผสมผสาน โดยใช้ช่องโหว่ use-after-free ร่วมกับ integer overflow เพื่อยกระดับสิทธิ์เป็น SYSTEM บนระบบ Windows 11
Windows 11 ถูกโจมตีอีกสองครั้งเพื่อให้ได้สิทธิ์ระดับ SYSTEM โดย Marcin Wiązowski ใช้ช่องโหว่ out-of-bounds write และในส่วนของ Hyeonjin Choi ได้สาธิตช่องโหว่ type confusion แบบ zero-day
ทีม Prison Break ได้รับเงินรางวัล 40,000 ดอลลาร์ หลังจากสาธิตการโจมตีที่ใช้ช่องโหว่ integer overflow เพื่อ escape ออกจาก Oracle VirtualBox และรันโค้ดบนระบบปฏิบัติการได้สำเร็จ
Sina Kheirkhah จาก Summoning Team ได้รับรางวัลอีก 35,000 ดอลลาร์สหรัฐ จากการโจมตีแบบ zero-day บน Chroma ร่วมกับการใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วใน Triton Inference Server ของ Nvidia ในขณะที่ Billy และ Ramdhan จาก STARLabs SG ได้รับเงินรางวัล 60,000 ดอลลาร์ หลังจากสามารถโจมตีผ่าน Docker Desktop และรันโค้ดบนระบบปฏิบัติการได้ โดยใช้ช่องโหว่ use-after-free แบบ zero-day
การแข่งขันแฮ็กในงาน Pwn2Own Berlin 2025 มุ่งเน้นไปที่เทคโนโลยีระดับองค์กร และหมวดหมู่ AI จัดขึ้นที่กรุงเบอร์ลินระหว่างวันที่ 15 ถึง 17 พฤษภาคม ภายในงานประชุม OffensiveCon
ในวันที่สองของการแข่งขัน นักวิจัยด้านความปลอดภัยจะพยายามเจาะระบบด้วยช่องโหว่แบบ zero-day บน Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Red Hat Enterprise Linux for Workstations และ Oracle VirtualBox
หลังจากมีการสาธิต และเปิดเผยช่องโหว่ zero-day ภายในงาน Pwn2Own แล้ว vendors มีเวลา 90 วันในการออกแพตช์ หรืออัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ใน products ซอฟต์แวร์ และฮาร์ดแวร์ของตน
ผู้เข้าแข่งขัน Pwn2Own จะมุ่งเป้าโจมตีไปที่ products ที่มีการอัปเดตแบบ fully patched ในหมวดต่าง ๆ เช่น AI, web browser, virtualization, local privilege escalation, servers, enterprise applications, cloud-native/container และ automotive categories ซึ่งจะมีเงินรางวัลมูลค่ากว่า 1,000,000 ดอลลาร์สหรัฐ
อย่างไรก็ตาม ในขณะที่ Tesla Model 3 ปี 2024 และ Tesla Model Y ปี 2025 (เวอร์ชั่น bench-top) ถูกกำหนดไว้เป็นเป้าหมายในการแข่งขันด้วย แต่จนถึงเริ่มการแข่งขันยังไม่มีผู้ใดที่มาลงทะเบียนโจมตีเป้าหมายเหล่านี้เลย
ที่มา : bleepingcomputer.