Gli hacker guadagnano oltre 1 milione di dollari per 28 vulnerabilità zero-day a Pwn2Own Berlino

Pwn2Own, il concorso annuale di hacking informatico, si è recentemente concluso alla conferenza OffensiveCon a Berlino, Germania, che si è tenuta tra il 15 e il 17 maggio 2025. L’evento, organizzato dall’Iniziativa Zero Day di Trend Micro (ZDI), ha segnato la prima edizione europea del rinomato concorso di hacking.

In una straordinaria dimostrazione di abilità nella cybersicurezza, i ricercatori di Pwn2Own Berlino 2025 hanno guadagnato collettivamente $1.078.750 scoprendo e sfruttando 28 vulnerabilità precedentemente sconosciute, note come exploit zero-day, in più categorie, tra cui virtualizzazione, browser web, applicazioni aziendali, server, escalation locale dei privilegi (EoP), cloud/contenitori, automotive e AI.

Cos’è Pwn2Own? **

Pwn2Own è una competizione di hacking in cui hacker etici, esperti di cybersicurezza e diversi altri concorrenti prendono di mira i dispositivi mobili più recenti e più utilizzati, dimostrando la loro capacità di scoprire e sfruttare vulnerabilità critiche zero-day.

Coloro che hanno successo non solo guadagnano premi in denaro, ma possono anche tenere i dispositivi che hanno compromesso.

Dopo l’evento di hacking, i fornitori tecnologici hanno 90 giorni per affrontare le vulnerabilità segnalate. Una volta scaduto questo periodo, ZDI rende pubbliche le vulnerabilità, indipendentemente dal fatto che sia stata rilasciata una patch.

Punti salienti della competizione

Giorno 1

Nel Giorno 1 di Pwn2Own Berlino 2025, sono stati dimostrati diversi exploit di successo, guadagnando ai ricercatori un totale di $260.000. Il premio singolo più alto della giornata di $60.000, insieme a 6 punti Master of Pwn, è andato a Billy e Ramdhan di STAR Labs, che hanno utilizzato un bug UAF per sfuggire a Docker Desktop ed eseguire codice sul sistema sottostante.

Inoltre, il Team Prison Break ha sfruttato un overflow intero per sfuggire a Oracle VirtualBox ed eseguire codice sul sistema operativo host, guadagnando $40.000 e 4 punti Master of Pwn.

Giorno 2

Il Giorno 2 di Pwn2Own Berlino ha visto un totale di $435.000 assegnati per vari exploit di successo, portando il totale del concorso a $695.000. La giornata ha presentato 20 vulnerabilità 0-day uniche con Nguyen Hoang Thach di STARLabs SG che ha fatto la storia di Pwn2Own utilizzando un singolo overflow intero per sfruttare VMware ESXi, assicurandosi il pagamento più alto della giornata di $150.000.

Inoltre, Viettel Cyber Security ha dimostrato una potente combinazione di bypass di autenticazione e deserializzazione insicura per compromettere Microsoft SharePoint, guadagnando $100.000.

Giorno 3

Nel Giorno 3 di Pwn2Own Berlino 2025, diversi team hanno fornito exploit di successo su una varietà di piattaforme, contribuendo a un totale di $383.750 in premi. Corentin BAYET di REverse Tactics ha guadagnato il premio singolo più alto della giornata—$112.500—e 11.5 punti Master of Pwn per un exploit ESXi parzialmente collidente che includeva un overflow intero unico.

Allo stesso modo, Thomas Bouzerar ed Etienne Helluy-Lafont di Synacktiv hanno guadagnato $80.000 e 8 punti Master of Pwn per aver utilizzato un overflow di buffer basato su heap per sfruttare VMware Workstation.

Riepilogo complessivo di Pwn2Own Berlino 2025

La competizione di hacking Pwn2Own Berlino 2025 di tre giorni ha visto i concorrenti rivelare 28 exploit zero-day unici – sette dei quali provenivano dalla categoria AI – e vincere un totale combinato di $1.078.750.

STAR Labs SG ha dominato la competizione e ha portato a casa il titolo di Master of Pwn, guadagnando $320.000 in premi e un totale di 35 punti per i loro exploit. Viettel Cyber Security è arrivata seconda con un premio di $155.000 e 15.5 punti.

Sono stati seguiti da Reverse Tactics al terzo posto nella classifica, che ha ottenuto un premio totale di $112.500 e 11.25 punti.