Pwn2Own Berlin: Windows 11 und Exchange gingen schnell in die Knie
Am zweiten Tag von Pwn2Own Berlin 2026 haben Sicherheitsforscher 15 bisher unbekannte Sicherheitslücken in beliebten Produkten wie Microsoft Exchange, Windows 11 und Red Hat Enterprise Linux für Workstations ausgenutzt.
Die Regeln sind einfach. Alle Geräte laufen mit den neuesten Betriebssystemversionen, und jede Demonstration muss einen echten Exploit zeigen, der bis zur Ausführung von beliebigem Code reicht. Danach bekommen die Hersteller 90 Tage, um die Lücken zu schließen, bevor die Details öffentlich werden.
Für diese Kaskade gab es 200.000 US-Dollar. Parallel knackte Siyeon Wi Windows 11 über eine Integer-Overflow-Schwachstelle und erzielte 7.500 US-Dollar; Ben Koo von Team DDOS erweiterte seine Rechte auf root auf Red Hat Enterprise Linux und bekam 10.000 US-Dollar. Auch der NVIDIA Container Toolkit wurde zweimal mit sogenannten "use-after-free"-Fehlern ausgenutzt.
Im Bereich Künstliche Intelligenz bewiesen Forscher, dass auch moderne Coding-Assistenten wie Cursor AI oder die OpenAI-Codex-Engine nicht immun sind. Zero-Day-Exploits in diesen Werkzeugen brachten Preise zwischen 15.000 und 30.000 US-Dollar.
Bereits am ersten Tag waren Windows 11 und Microsoft Edge mehrfach betroffen, darunter ein komplexer Sandbox-Escape in Edge, der Orange Tsai weitere 175.000 US-Dollar einbrachte. Selbst Plattformen, die gern als "sicher" beworben werden, waren ein leichtes Ziel für geschickte Angreifer. Es gab aber auch einige Probleme für die Hacker im Wettbewerb, sodass die Gruppen unter anderem an SharePoint und Mozilla Firefox in der vorgegebene Zeit scheiteren.
Wie schätzt ihr die Meldung über die getroffenen Systeme ein? Schreibt eure Meinung in die Kommentare.
Siehe auch:
OffensiveCon in Berlin
Gemeinsam sammelten sie an diesem Tag 385.750 US-Dollar an Prämien - ein klares Zeichen dafür, dass selbst aktuell gepatchte Systeme noch immer Angriffsflächen bieten. Die Veranstaltung findet im Rahmen der OffensiveCon in Berlin statt und setzt bewusst auf Enterprise-Welt und IT-Sicherheit in der KI-Ära.Die Regeln sind einfach. Alle Geräte laufen mit den neuesten Betriebssystemversionen, und jede Demonstration muss einen echten Exploit zeigen, der bis zur Ausführung von beliebigem Code reicht. Danach bekommen die Hersteller 90 Tage, um die Lücken zu schließen, bevor die Details öffentlich werden.
Probleme aufgezeigt
Höhepunkt des zweiten Tages von Pwn2Own Berlin war der Exploit von Cheng-Da Tsai (Orange Tsai) von DEVCORE. Er kombinierte drei Sicherheitslücken in Microsoft Exchange zu einem Remote-Code-Execution-Angriff mit System-Rechten - ein Szenario, das im Produktionsbetrieb zu schwerwiegenden Verletzungen führen könnte.Für diese Kaskade gab es 200.000 US-Dollar. Parallel knackte Siyeon Wi Windows 11 über eine Integer-Overflow-Schwachstelle und erzielte 7.500 US-Dollar; Ben Koo von Team DDOS erweiterte seine Rechte auf root auf Red Hat Enterprise Linux und bekam 10.000 US-Dollar. Auch der NVIDIA Container Toolkit wurde zweimal mit sogenannten "use-after-free"-Fehlern ausgenutzt.
Im Bereich Künstliche Intelligenz bewiesen Forscher, dass auch moderne Coding-Assistenten wie Cursor AI oder die OpenAI-Codex-Engine nicht immun sind. Zero-Day-Exploits in diesen Werkzeugen brachten Preise zwischen 15.000 und 30.000 US-Dollar.
Bereits am ersten Tag waren Windows 11 und Microsoft Edge mehrfach betroffen, darunter ein komplexer Sandbox-Escape in Edge, der Orange Tsai weitere 175.000 US-Dollar einbrachte. Selbst Plattformen, die gern als "sicher" beworben werden, waren ein leichtes Ziel für geschickte Angreifer. Es gab aber auch einige Probleme für die Hacker im Wettbewerb, sodass die Gruppen unter anderem an SharePoint und Mozilla Firefox in der vorgegebene Zeit scheiteren.
Wie schätzt ihr die Meldung über die getroffenen Systeme ein? Schreibt eure Meinung in die Kommentare.
Was ist Pwn2Own?
Pwn2Own ist einer der weltweit renommiertesten Hacking-Wettbewerbe, der seit 2007 jährlich auf der Sicherheitskonferenz CanSecWest stattfindet. Inzwischen wird er sogar mehrfach pro Jahr veranstaltet. Teilnehmer versuchen, bislang unbekannte Sicherheitslücken (Zero-Day-Exploits) in verbreiteter Software oder Geräten zu finden und auszunutzen.
Der Name kommt aus dem Netzjargon: "pwn" bedeutet "hacken/übernehmen", "2" steht für "to" und "own" für "besitzen". Das Prinzip ist also: Ein Gerät hacken, um es zu gewinnen und zu besitzen. Die Aussprache ist übrigens etwa [poʊn] oder [pəʊn].
Der Name kommt aus dem Netzjargon: "pwn" bedeutet "hacken/übernehmen", "2" steht für "to" und "own" für "besitzen". Das Prinzip ist also: Ein Gerät hacken, um es zu gewinnen und zu besitzen. Die Aussprache ist übrigens etwa [poʊn] oder [pəʊn].
Wie funktioniert der Wettbewerb?
Teilnehmer melden sich mit Exploits für bestimmte Zielsysteme an, darunter Webbrowser, Betriebssysteme, Smartphones und seit 2019 auch Automobile. Die Hacker haben dann nur ein enges Zeitfenster (meist etwa 10 Minuten pro Versuch), um ihre Angriffe erfolgreich durchzuführen.
Für jeden erfolgreichen Exploit gibt es Punkte und Geldpreise - in den letzten Jahren wurden oft über 1 Million US-Dollar pro Event ausgeschüttet. Wer die meisten Punkte sammelt, wird zum "Master of Pwn" gekürt und erhält einen zusätzlichen Preis sowie eine spezielle Jacke.
Für jeden erfolgreichen Exploit gibt es Punkte und Geldpreise - in den letzten Jahren wurden oft über 1 Million US-Dollar pro Event ausgeschüttet. Wer die meisten Punkte sammelt, wird zum "Master of Pwn" gekürt und erhält einen zusätzlichen Preis sowie eine spezielle Jacke.
Was wurde bisher gehackt?
In der Geschichte von Pwn2Own wurden nahezu alle großen Browser erfolgreich gehackt, darunter Chrome, Firefox, Safari und Internet Explorer/Edge. Auch zahlreiche Betriebssysteme wie Windows, macOS und verschiedene Linux-Distributionen fielen den Hackern zum Opfer.
In den letzten Jahren wurde das Spektrum erweitert: Mobile Plattformen, IoT-Geräte und sogar Fahrzeuge stehen mittlerweile im Fokus. Ein besonders spektakulärer Hack war 2021 zu sehen, als ein HP-Drucker so manipuliert wurde, dass er über seinen Lautsprecher das Lied "Thunderstruck" abspielte.
In den letzten Jahren wurde das Spektrum erweitert: Mobile Plattformen, IoT-Geräte und sogar Fahrzeuge stehen mittlerweile im Fokus. Ein besonders spektakulärer Hack war 2021 zu sehen, als ein HP-Drucker so manipuliert wurde, dass er über seinen Lautsprecher das Lied "Thunderstruck" abspielte.
Gibt es spezielle Kategorien?
Pwn2Own hat sich über die Jahre weiterentwickelt und umfasst mittlerweile verschiedene spezialisierte Wettbewerbe. Neben dem klassischen Format gibt es seit 2023 einen eigenen Wettbewerb für Fahrzeuge namens "Automotive Pwn2Own", bei dem die Betriebssysteme moderner Autos angegriffen werden.
Weitere Kategorien umfassen Enterprise Communications für Unternehmenskommunikationssysteme, IoT-Geräte wie Smart Speaker und Netzwerkausrüstung sowie Server-Technologien. Die Kategorien werden regelmäßig angepasst, um aktuelle Technologietrends und Sicherheitsherausforderungen widerzuspiegeln.
Weitere Kategorien umfassen Enterprise Communications für Unternehmenskommunikationssysteme, IoT-Geräte wie Smart Speaker und Netzwerkausrüstung sowie Server-Technologien. Die Kategorien werden regelmäßig angepasst, um aktuelle Technologietrends und Sicherheitsherausforderungen widerzuspiegeln.
Wie schwer ist Hacken heute?
Das Hacken moderner Systeme ist deutlich anspruchsvoller geworden. Während früher oft eine einzige Sicherheitslücke ausreichte, sind heute meist mehrere Schwachstellen nötig, um moderne Schutzmechanismen wie Sandboxing und Speicherzufallsanordnung zu umgehen.
Diese Entwicklung spiegelt die verbesserten Sicherheitsmaßnahmen wider, die Hersteller implementiert haben - nicht zuletzt aufgrund von Erkenntnissen aus früheren Pwn2Own-Wettbewerben. Dennoch zeigt der kontinuierliche Erfolg der Teilnehmer, dass auch modernste Systeme nicht unverwundbar sind.
Diese Entwicklung spiegelt die verbesserten Sicherheitsmaßnahmen wider, die Hersteller implementiert haben - nicht zuletzt aufgrund von Erkenntnissen aus früheren Pwn2Own-Wettbewerben. Dennoch zeigt der kontinuierliche Erfolg der Teilnehmer, dass auch modernste Systeme nicht unverwundbar sind.
Warum ist Pwn2Own so wichtig?
Pwn2Own ist nicht nur ein spektakulärer Wettkampf, sondern ein wichtiger Motor für die Verbesserung der IT-Sicherheit. Die Veranstaltung fördert die verantwortungsvolle Offenlegung von Sicherheitslücken, da alle gefundenen Schwachstellen direkt an die betroffenen Hersteller gemeldet werden.
Dieser Prozess, bekannt als "responsible disclosure", ermöglicht es den Herstellern, Patches zu entwickeln, bevor bösartige Akteure die Schwachstellen ausnutzen können. Somit profitieren letztlich alle Nutzer von Software und Geräten von den Erkenntnissen aus Pwn2Own, was den Wettbewerb zu einem unverzichtbaren Element der globalen Cybersicherheitslandschaft macht.
Dieser Prozess, bekannt als "responsible disclosure", ermöglicht es den Herstellern, Patches zu entwickeln, bevor bösartige Akteure die Schwachstellen ausnutzen können. Somit profitieren letztlich alle Nutzer von Software und Geräten von den Erkenntnissen aus Pwn2Own, was den Wettbewerb zu einem unverzichtbaren Element der globalen Cybersicherheitslandschaft macht.
Zusammenfassung
- Orange Tsai kombinierte drei Lücken in Exchange zu Remote-Code-Execution
- Siyeon Wi knackte Windows 11 per Integer-Overflow-Schwachstelle
- Ben Koo von Team DDOS erhielt Root-Rechte auf Red Hat Enterprise Linux
- Der NVIDIA Container Toolkit wurde zweimal mit Use-After-Free-Fehlern ausgenutzt
- Auch Cursor AI und die OpenAI-Codex-Engine fielen zum Opfer
- Am ersten Tag erbeuteten Forscher 523.000 Dollar
- SharePoint und Mozilla Firefox widerstanden den Angriffen im vorgegebenen Zeitfenster
Siehe auch:
Themen:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Samsung Health: App erhält riesiges Update mit vielen neuen Features
- HP bringt limitiertes Ferrari-Notebook - für 5600 Dollar
- Microsoft redet Klartext: Nutzer sollen KI-"süchtig" gemacht werden
- CPU-Nachfrage 'zerstört': Kunden verweigern sich hohen Preisen
- FritzOS 8.24: Frische Beta-Firmware landet auf fünf FritzBox-Routern
- Keine Stargate-Rückkehr: Prime Video streicht die geplante Serie
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen