Hacker verdienen über 1 Million Dollar für 28 Zero-Day-Schwachstellen bei Pwn2Own Berlin

Pwn2Own, der jährliche Computer-Hacking-Wettbewerb, fand kürzlich auf der OffensiveCon-Konferenz in Berlin, Deutschland, statt, die vom 15. bis 17. Mai 2025 abgehalten wurde. Die Veranstaltung, organisiert von Trend Micros Zero Day Initiative (ZDI), markierte die erste europäische Ausgabe des renommierten Hacking-Wettbewerbs.

In einer bemerkenswerten Demonstration von Cybersicherheitskompetenz verdienten die Forscher bei Pwn2Own Berlin 2025 insgesamt 1.078.750 Dollar, indem sie 28 zuvor unbekannte Schwachstellen, bekannt als Zero-Day-Exploits, in mehreren Kategorien aufdeckten und ausnutzten, darunter Virtualisierung, Webbrowser, Unternehmensanwendungen, Server, lokale Privilegieneskalation (EoP), Cloud/Container, Automobil und KI.

Was ist Pwn2Own? **

Pwn2Own ist ein Hacking-Wettbewerb, bei dem ethische Hacker, Cybersicherheitsexperten und mehrere andere Teilnehmer die neuesten und am weitesten verbreiteten mobilen Geräte ins Visier nehmen und ihre Fähigkeit demonstrieren, kritische Zero-Day-Schwachstellen aufzudecken und auszunutzen.

Diejenigen, die erfolgreich sind, verdienen nicht nur Geldprämien, sondern dürfen auch die Geräte behalten, die sie kompromittiert haben.

Nach der Hacking-Veranstaltung haben Technologieanbieter 90 Tage Zeit, um die gemeldeten Schwachstellen zu beheben. Nach Ablauf dieses Zeitraums gibt ZDI die Schwachstellen öffentlich bekannt, unabhängig davon, ob ein Patch veröffentlicht wurde.

Höhepunkte des Wettbewerbs

Tag 1

Am ersten Tag von Pwn2Own Berlin 2025 wurden mehrere erfolgreiche Exploits demonstriert, die den Forschern insgesamt 260.000 Dollar einbrachten. Die höchste Einzelprämie des Tages von 60.000 Dollar sowie 6 Master of Pwn-Punkte gingen an Billy und Ramdhan von STAR Labs, die einen UAF-Bug nutzten, um Docker Desktop zu verlassen und Code auf dem zugrunde liegenden System auszuführen.

Darüber hinaus nutzte Team Prison Break einen Integer-Overflow, um Oracle VirtualBox zu verlassen und Code auf dem Host-Betriebssystem auszuführen, was ihnen 40.000 Dollar und 4 Master of Pwn-Punkte einbrachte.

Tag 2

Am zweiten Tag von Pwn2Own Berlin wurden insgesamt 435.000 Dollar für verschiedene erfolgreiche Exploits vergeben, was den Gesamtbetrag des Wettbewerbs auf 695.000 Dollar brachte. Der Tag bot 20 einzigartige 0-Day-Schwachstellen, wobei Nguyen Hoang Thach von STARLabs SG Pwn2Own-Geschichte schrieb, indem er einen einzigen Integer-Overflow nutzte, um VMware ESXi auszunutzen, und die höchste Auszahlung des Tages von 150.000 Dollar sicherte.

Darüber hinaus demonstrierte Viettel Cyber Security eine leistungsstarke Kombination aus Authentifizierungsumgehung und unsicherer Deserialisierung, um Microsoft SharePoint zu kompromittieren, was ihnen 100.000 Dollar einbrachte.

Tag 3

Am dritten Tag von Pwn2Own Berlin 2025 lieferten mehrere Teams erfolgreiche Exploits auf verschiedenen Plattformen, was zu insgesamt 383.750 Dollar an Prämien führte. Corentin BAYET von REverse Tactics verdiente die höchste Einzelprämie des Tages – 112.500 Dollar – sowie 11,5 Master of Pwn-Punkte für einen teilweise kollidierenden ESXi-Exploit, der einen einzigartigen Integer-Overflow beinhaltete.

Ähnlich verdienten Thomas Bouzerar und Etienne Helluy-Lafont von Synacktiv 80.000 Dollar und 8 Master of Pwn-Punkte, indem sie einen heap-basierten Buffer Overflow nutzten, um VMware Workstation auszunutzen.

Gesamtübersicht von Pwn2Own Berlin 2025

Der dreitägige Pwn2Own Berlin 2025 Hacking-Wettbewerb sah Teilnehmer, die 28 einzigartige Zero-Day-Exploits offenlegten – sieben davon stammten aus der KI-Kategorie – und insgesamt 1.078.750 Dollar gewannen.

STAR Labs SG dominierte den Wettbewerb und sicherte sich den Titel Master of Pwn, was ihnen 320.000 Dollar an Auszahlungen und insgesamt 35 Punkte für ihre Exploits einbrachte. Viettel Cyber Security belegte den zweiten Platz mit einer Auszahlung von 155.000 Dollar und 15,5 Punkten.

Sie wurden gefolgt von Reverse Tactics, die den dritten Platz auf der Rangliste belegten und insgesamt 112.500 Dollar und 11,25 Punkte erhielten.