Pwn2Own Berlin 2026: Zero-day атаки срещу Windows 11, Microsoft Exchange и ИИ

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

По време на втория ден от хакерското състезание Pwn2Own Berlin 2026 изследователи по киберсигурност спечелиха общо 385 750 долара след успешна експлоатация на 15 уникални zero-day уязвимости в продукти като Windows 11, Microsoft Exchange и Red Hat Enterprise Linux.

Събитието се провежда в рамките на конференцията OffensiveCon 2026 между 14 и 16 май и тази година поставя силен акцент върху корпоративните технологии, контейнерните среди и решенията с изкуствен интелект.

Над 1 милион долара награди за компрометиране на напълно обновени системи

Организаторите от Trend Micro Zero Day Initiative обявиха, че участниците могат да спечелят над 1 милион долара чрез успешно хакване на напълно patch-нати системи и приложения.

Категориите включват:

  • web браузъри;
  • enterprise приложения;
  • cloud-native и container среди;
  • виртуализация;
  • локална ескалация на привилегии;
  • сървърни платформи;
  • LLM и ИИ агенти.

Според правилата на състезанието всички системи работят с най-новите версии на операционните системи и актуалните пачове към момента на атаката. Участниците трябва да демонстрират реално изпълнение на код или пълно компрометиране на целта.

След разкриването на уязвимостите производителите разполагат с 90 дни за публикуване на корекции.

Orange Tsai спечели 200 000 долара за атака срещу Microsoft Exchange

Най-впечатляващата демонстрация през втория ден беше дело на Чън-Да Цай от DEVCORE Research Team.

Изследователят успя да комбинира три отделни уязвимости, за да постигне:

  • remote code execution;
  • SYSTEM привилегии;
  • пълен контрол над Microsoft Exchange.

За атаката той получи награда от 200 000 долара.

Windows 11 отново беше компрометиран

Сийон Уи спечели 7 500 долара след експлоатация на integer overflow уязвимост в Windows 11.

Паралелно с това Бен Ку успя да ескалира привилегии до root в Red Hat Enterprise Linux, което му донесе още 10 000 долара.

NVIDIA Container Toolkit също беше атакуван

Изследователите 0xDACA и Ноам Тробиши демонстрираха успешна атака чрез use-after-free уязвимост срещу NVIDIA Container Toolkit.

Контейнерните среди остават една от най-критичните области за сигурността на cloud инфраструктурите, особено при среди с GPU ускорение и ИИ натоварвания.

ИИ агентите се превръщат в нова цел

Една от най-интересните тенденции на тазгодишното издание е отделната категория за ИИ системи и coding agents.

Успешни атаки срещу Cursor и OpenAI Codex

Ле Дук Ан Ву от Viettel Cyber Security компрометира Cursor и спечели 30 000 долара.

Сина Хейрках демонстрира zero-day уязвимост в OpenAI Codex за 20 000 долара.

От Compass Security също успешно атакуваха Cursor, което им донесе още 15 000 долара.

Тези демонстрации показват, че ИИ платформите и coding агентите вече се разглеждат като пълноценна attack surface зона.

Силен старт още през първия ден

Още в първия ден Чън-Да Цай спечели допълнителни 175 000 долара след комбиниране на четири логически уязвимости за sandbox escape в Microsoft Edge.

Валентина Палмиоти от IBM X-Force получи:

  • 20 000 долара за root достъп до Red Hat Enterprise Linux;
  • 50 000 долара за zero-day в NVIDIA Container Toolkit.

Windows 11 беше хакнат многократно

През първия ден Windows 11 беше успешно компрометиран три отделни пъти чрез локални privilege escalation уязвимости.

Сред участниците бяха:

  • Angelboy;
  • TwinkleStar03;
  • Кентаро Каване;
  • Марцин Вионзовски.

Всеки от тях получи по 30 000 долара.

Третият ден ще бъде фокусиран върху сървъри и виртуализация

През последния ден от Pwn2Own Berlin 2026 изследователите ще се насочат към:

  • VMware ESXi;
  • Microsoft SharePoint;
  • Windows 11;
  • Red Hat Enterprise Linux;
  • различни ИИ coding агенти.

ИИ и enterprise инфраструктурите стават основна attack surface зона

Тазгодишното издание на Pwn2Own ясно показва промяната във фокуса на offensive security изследванията. Освен традиционните браузъри и операционни системи, все по-голям интерес предизвикват:

  • LLM модели;
  • ИИ coding асистенти;
  • контейнерни среди;
  • enterprise collaboration платформи;
  • virtualization инфраструктури.

Това е сигнал, че следващата вълна от zero-day уязвимости вероятно ще бъде насочена именно към автоматизираните ИИ системи и cloud-native екосистемите.

#Microsoft Exchange, # Pwn2Own Berlin 2026, # Windows 11, # zero-day, # ИИ сигурност
e-security.bg

Подобни

10-годишна уязвимост в phpBB позволява пълен достъп
15.06.2026
ai-generated-9296016_640
Microsoft отстрани проблем в Windows Server 2025
13.06.2026
2025server-150x150
Критична уязвимост в Ivanti Sentry вече се експлоатира
12.06.2026
Ivanti
Критична уязвимост в Langflow се използва активно
12.06.2026
cyber-security-3400723_960_720
Microsoft отстрани активно експлоатирана уязвимост в Exchange Server
11.06.2026
Exchange Server
Проблем с Windows Update предизвиква критични инсталационни грешки
11.06.2026
microsoft-4412148_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy