Некоторые из вас, возможно, знают о Pwn2Own — конкурсе по взлому, который дважды в год организует Zero Day Initiative (ZDI). Он бросает вызов этичным хакерам, предлагая им найти 0-day уязвимости в популярных продуктах в отведенное время и получить огромные денежные призы. В прошлом мы видели, как Windows 11, Teams, iOS 11.1 и другие системы подвергались взлому со стороны white-hat хакеров, и текущее мероприятие Pwn2Own 2026 не является исключением.
На второй день трехдневного мероприятия участник Сиён Ви (Siyeon Wi) смог использовать ошибку переполнения целого числа в Windows 11 для атаки с повышением привилегий и получил $7500 призовых. Аналогично, Оранж Цай (Orange Tsai) из команды DEVCORE Research Team объединил три уязвимости в сложной атаке для получения привилегий SYSTEM, что позволило им вызвать удаленное выполнение кода (RCE) в Microsoft Exchange. Они заработали $200 000.
Множество инструментов на базе ИИ были успешно скомпрометированы, включая Ollama, LM Studio, Claude Desktop, Cursor, OpenAI Codex и другие. На второй день были и неудачные попытки. Например, участники не смогли эксплуатировать Microsoft SharePoint и Apple Safari в отведенное время. В общей сложности за второй день было присуждено $385 750 за обнаружение 15 уникальных 0-day уязвимостей.
Ранее, в первый день Windows 11 неоднократно подвергалась взлому из-за проблем с «Ненадлежащим контролем доступа» (Improper Access Control), переполнения буфера в куче (heap-based buffer overflow) и ошибок использования после освобождения (Use-After-Free, UAF). Цай также сумел объединить четыре логические ошибки в Edge и осуществить побег из песочницы (sandbox escape), выиграв $175 000. В первый день было присуждено $523 000 за обнаружение 24 0-day эксплойтов, что довело общий итог двух дней до $908 750 и 39 эксплойтов.
В целом, подобные мероприятия весьма полезны, поскольку они позволяют людям безопасно оттачивать навыки этичного хакинга, одновременно стимулируя их за проделанную работу. В свою очередь, поставщики программного и аппаратного обеспечения получают возможность улучшить свои механизмы безопасности, что в конечном итоге приносит пользу обычным потребителям. Обнаруженные 0-day эксплойты проверяются на месте представителями вендоров и ZDI, после чего участник в частном порядке проводит обратную разработку атаки для судей. Как главный спонсор мероприятия, ZDI предоставляет большую часть денежных призов победителям. Будет интересно посмотреть, какие еще технические достижения будут продемонстрированы на третий день Pwn2Own 2026 в Берлине завтра.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
