Trong suốt cuộc thi, họ nhắm mục tiêu vào các công nghệ doanh nghiệp trong các danh mục AI, trình duyệt web, ảo hóa, leo thang đặc quyền cục bộ, máy chủ, ứng dụng doanh nghiệp, đám mây gốc/container và ô tô.
 |
Theo quy tắc của Pwn2Own, tất cả các thiết bị được nhắm mục tiêu đều đã cài đặt tất cả các bản cập nhật bảo mật và chạy phiên bản hệ điều hành mới nhất.
Mặc dù Tesla cũng cung cấp hai mẫu xe điên Tesla Model Y 2025 và Tesla Model 3 2024, các nhà nghiên cứu bảo mật tham gia cuộc thi chưa ghi nhận bất kỳ nỗ lực xâm nhập nào trong danh mục này trước khi Pwn2Own bắt đầu.
Các thí sinh đã thu về 260.000 đô la tiền thưởng sau ngày đầu tiên và thêm 435.000 đô la nữa vào ngày thứ hai sau khi khai thác 20 lỗ hổng zero-day. Vào ngày thứ ba của Pwn2Own, họ đã thu về thêm 383.750 đô la cho tám lỗ hổng zero-day nữa.
Sau khi các lỗ hổng này được trình diễn trong các sự kiện Pwn2Own, các nhà cung cấp có 90 ngày để phát hành các bản cập nhật bảo mật trước khi TrendMicro công khai chúng.
Đội STAR Labs SG đã giành chiến thắng trong cuộc thi Pwn2Own Berlin năm nay với 35 điểm Master of Pwn và giành được 320.000 đô la tiền thưởng trong suốt cuộc thi kéo dài ba ngày sau khi hack Red Hat Enterprise Linux, Docker Desktop, Windows 11, VMware ESXi và Oracle VirtualBox.
Nguyễn Thạch Hoàng của STAR Labs đã giành được phần thưởng cao nhất của cuộc thi là 150.000 đô la sau khi sử dụng một lỗ hổng tràn số nguyên để hack phần mềm ảo hóa VMware ESXi.
Đội Viettel Cyber Security giành vị trí thứ hai sau khi trình diễn các lỗ hổng zero-day có thể cho phép kẻ tấn công thoát khỏi hệ thống máy chủ từ máy khách Oracle VirtualBox và hack Microsoft SharePoint bằng chuỗi khai thác kết hợp bỏ qua xác thực và hủy tuần tự hóa không an toàn.
Vào ngày thứ ba, đội Reverse Tactics một lần nữa hack phần mềm quản lý ảo của VMware bằng chuỗi khai thác lợi dụng lỗi tràn số nguyên và lỗi biến chưa khởi tạo để kiếm được 112.500 đô la và giành vị trí thứ ba trong bảng xếp hạng.
Mozilla đã vá hai lỗi zero-day của Firefox (CVE-2025-4918 và CVE-2025-4919) được trình diễn trong cuộc thi sau khi phát hành Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1 và phiên bản Firefox mới cho Android vào cuối tuần để giải quyết các lỗi này.
Vào tháng 3/2024, Mozilla đã khắc phục hai lỗ hổng zero-day khác trong trình duyệt web Firefox (CVE-2024-29943 và CVE-2024-29944) sau khi nhà nghiên cứu bảo mật Manfred Paul khai thác và báo cáo chúng tại Pwn2Own Vancouver 2024.
Bình luận