Hackers Ganham Mais de $1M por 28 Falhas Zero-Day no Pwn2Own Berlin

Pwn2Own, o concurso anual de hacking de computadores, recentemente concluiu na conferência OffensiveCon em Berlim, Alemanha, que foi realizada entre 15 e 17 de maio de 2025. O evento, organizado pela Iniciativa Zero Day da Trend Micro (ZDI), marcou a primeira edição europeia da renomada competição de hacking.

Em uma exibição notável de habilidade em cibersegurança, os pesquisadores do Pwn2Own Berlin 2025 ganharam coletivamente $1.078.750 ao descobrir e explorar 28 vulnerabilidades anteriormente desconhecidas, conhecidas como exploits zero-day, em várias categorias, incluindo virtualização, navegador web, aplicações empresariais, servidor, escalonamento local de privilégios (EoP), nuvem/container, automotivo e IA.

O Que É Pwn2Own? **

Pwn2Own é uma competição de hacking onde hackers éticos, especialistas em cibersegurança e vários outros concorrentes visam os dispositivos móveis mais recentes e amplamente utilizados, demonstrando sua capacidade de descobrir e explorar vulnerabilidades críticas zero-day.

Aqueles que têm sucesso não apenas ganham recompensas em dinheiro, mas também ficam com os dispositivos que comprometeram.

Após o evento de hacking, os fornecedores de tecnologia têm 90 dias para resolver as vulnerabilidades relatadas. Uma vez que esse período termina, a ZDI divulga publicamente as falhas, independentemente de um patch ter sido lançado.

Destaques Da Competição

Dia 1

No Dia 1 do Pwn2Own Berlin 2025, vários exploits bem-sucedidos foram demonstrados, rendendo aos pesquisadores um total de $260.000. A maior recompensa única do dia de $60.000, juntamente com 6 pontos de Master of Pwn, foi para Billy e Ramdhan da STAR Labs, que usaram um bug UAF para escapar do Docker Desktop e executar código no sistema subjacente.

Além disso, a equipe Prison Break aproveitou um estouro de inteiro para escapar do Oracle VirtualBox e executar código no sistema operacional host, ganhando $40.000 e 4 pontos de Master of Pwn.

Dia 2

O Dia 2 do Pwn2Own Berlin viu um total de $435.000 sendo concedidos por vários exploits bem-sucedidos, elevando o total do concurso para $695.000. O dia apresentou 20 vulnerabilidades únicas de 0-day, com Nguyen Hoang Thach da STARLabs SG fazendo história no Pwn2Own ao usar um único estouro de inteiro para explorar o VMware ESXi, garantindo o maior pagamento do dia de $150.000.

Além disso, a Viettel Cyber Security demonstrou uma combinação poderosa de bypass de autenticação e deserialização insegura para comprometer o Microsoft SharePoint, ganhando $100.000.

Dia 3

No Dia 3 do Pwn2Own Berlin 2025, várias equipes entregaram exploits bem-sucedidos em uma variedade de plataformas, contribuindo para um total de $383.750 em recompensas. Corentin BAYET da REverse Tactics ganhou a maior recompensa única do dia—$112.500—bem como 11,5 pontos de Master of Pwn por um exploit ESXi parcialmente colidido que incluía um único estouro de inteiro.

Da mesma forma, Thomas Bouzerar e Etienne Helluy-Lafont da Synacktiv ganharam $80.000 e 8 pontos de Master of Pwn por usar um estouro de buffer baseado em heap para explorar o VMware Workstation.

Resumo Geral Do Pwn2Own Berlin 2025

A competição de hacking Pwn2Own Berlin 2025 de três dias viu concorrentes divulgando 28 exploits únicos zero-day – sete dos quais vieram da categoria IA – e ganhando um total combinado de $1.078.750.

A STAR Labs SG dominou a competição e levou para casa o título de Master of Pwn, ganhando $320.000 em pagamento e um total de 35 pontos por seus exploits. A Viettel Cyber Security ficou em segundo lugar com um pagamento de $155.000 e 15,5 pontos.

Eles foram seguidos pela Reverse Tactics em terceiro lugar na tabela de classificação, que obteve um pagamento total de $112.500 e 11,25 pontos.