Pwn2Own Berlin 2025: gli hack più sorprendenti e i premi record per la sicurezza IT avanzata

Si è aperta con risultati spettacolari la competizione di hacking Pwn2Own Berlin 2025, ospitata all’interno dell’evento OffensiveCon dal 15 al 17 maggio 2025. Appena nella prima giornata, sono stati messi a segno exploit di rilievo su alcune delle piattaforme più utilizzate nel mondo IT e aziendale, come Windows 11, Red Hat Enterprise Linux e Oracle VirtualBox, con un montepremi distribuito pari a ben 260.000 dollari. Gli hacker partecipanti hanno evidenziato vulnerabilità zero-day che consentono l’elevazione privilegi e l’accesso non autorizzato a dati sensibili, confermando la necessità critica di rafforzare continuamente la sicurezza dei sistemi più diffusi.

Successi su Red Hat Linux e premi ridotti per bug già noti

Il team DEVCORE, con l’esperto Pumpkin, ha aperto le danze dimostrando un exploit su Red Hat Linux sfruttando un integer overflow che ha permesso di ottenere privilegi amministrativi locali, guadagnandosi un premio da 20.000 dollari. Parallelamente, Hyunwoo Kim e Wongi Lee di Theori hanno ottenuto un accesso root combinando una vulnerabilità use-after-free con una falla di information leak, ma essendo uno dei bug già noto (N-day), il premio è stato ridotto a 15.000 dollari. Questi exploit sottolineano quanto le debolezze nelle componenti di sistema Linux possano compromettere anche ambienti enterprise robusti, cosa da considerare attentamente da chi si occupa di sicurezza e integrazione di sistemi.

Tre nuovi exploit penetrano Windows 11 e Oracle VirtualBox vulnerato

Windows 11 ha subito tre attacchi distinti: Chen Le Qi di STARLabs SG ha combinato un uso di tipo use-after-free con un integer overflow per scalare a privilegi SYSTEM, ottenendo un premio da 30.000 dollari. Lo stesso valore è stato conferito a Marcin Wiązowski per un exploit di scrittura out-of-bounds, mentre Hyeonjin Choi ha guadagnato 15.000 dollari per un exploit basato su un bug di type confusion. Oracle VirtualBox non è stato da meno: il gruppo Prison Break ha dimostrato un attacco da integer overflow che ha permesso di eludere la sandbox e eseguire codice nell’host, incassando un premio di 40.000 dollari. Tali risultati evidenziano quanto sia cruciale integrare meccanismi di controllo e mitigazione avanzati soprattutto nelle virtualizzazioni e nei sistemi operativi moderni.

Innovazioni in AI, premi record e sfide future nella sicurezza IT

Innovativa la nuova categoria dedicata all’intelligenza artificiale: Sina Kheirkhah del team Summoning si è imposto come primo vincitore storico sfruttando una falla nella piattaforma Chroma, con un premio di 20.000 dollari. Successivamente, ha dimostrato anche un exploit su NVIDIA Triton Inference Server, ma per via di bug già noti il compenso è stato ridotto a 15.000 dollari. A chiudere la prima giornata, STARLabs SG si è aggiudicata il premio più ricco da 60.000 dollari, grazie a uno use-after-free nel kernel Linux che ha permesso la fuga da Docker Desktop e l’esecuzione di codice sull’host. Con oltre un milione in palio e il coinvolgimento di tecnologie critiche come container, AI, virtualizzazione e persino automotive, la competizione prosegue con sfide su SharePoint, VMware ESXi e Firefox, mentre target come Tesla restano ancora inesplorati, offrendo spunti essenziali per chi lavora nell’integrazione e nella gestione di sistemi complessi in ambito enterprise.