Pwn2Own Berlin 2026 Sonuçları
Pwn2Own Berlin 2026 siber güvenlik yarışması, güvenlik araştırmacılarının 47 sıfır gün açığı kullanarak toplamda 1,298,250 dolar ödül kazandığı heyecan verici bir etkinlik olarak tamamlandı. Bu tür yarışmalar, yazılım ve sistem güvenliğini geliştirmek için kritik öneme sahiptir.
Etkinlik Detayları
Pwn2Own Berlin, 14-16 Mayıs tarihleri arasında OffensiveCon konferansında düzenlendi ve özellikle kurumsal teknolojiler ile yapay zeka üzerinde yoğunlaştı. Katılımcılar, tam yamalı ürünleri hedef alarak çeşitli alanlara yöneldiler:
- Web Tarayıcıları
- Kurumsal Uygulamalar
- Yerel Yetki Yükseltme
- Sunucular
- Yerel Çıkarım
- Bulut-yerel/Konteyner Ortamları
- Sanalizasyon
- Büyük Dil Modelleri (LLM)
Yarışmanın ilk gününde, katılımcılar 24 farklı sıfır günden 523,000 dolar kazanarak dikkat çekici bir başlangıç yaptılar. İkinci günde, 15 sıfır gün açığı ile toplamda 385,750 dolar elde ettiler. Son gün ise sekiz ek sıfır gün ile 389,500 dolar kazandılar.
Öne Çıkan Başarılar
DEVCORE, toplamda 50.5 Master of Pwn puanı ve 505,000 dolar ödül ile bu yılki Pwn2Own Berlin yarışmasını kazandı. Bu başarı, Microsoft SharePoint, Microsoft Exchange, Microsoft Edge ve Windows 11 sistemlerinde gerçekleştirilen saldırılarla elde edildi. İkinci sırada 242,500 dolar ile STARLabs SG, üçüncü sırada ise 95,750 dolarla Out Of Bounds yer aldı.
Yarışmanın en yüksek ödülü 200,000 dolar, üç açığı birleştirerek Microsoft Exchange üzerinde sistem ayrıcalıklarıyla uzaktan kod yürütme başarısı gösteren Cheng-Da Tsai (Orange Tsai) tarafından kazanıldı.
Saldırıların İçeriği
Yarışmanın ilk gününde, Orange Tsai 175,000 dolar daha kazanarak Microsoft Edge üzerinde 4 mantık hatası ile bir sandbox kaçışı gerçekleştirdi. Windows 11, üç kez hacklendi. Ayrıca, Valentina Palmiotti (chompie) 70,000 dolar kazanarak Red Hat Linux for Workstations üzerinde kök erişimi elde etti.
İkinci günde, yerel yetki yükseltme açıkları, Red Hat Enterprise Linux for Workstations’da kök erişimi ve çeşitli yapay zeka kodlama araçları üzerindeki sıfır günler sergilendi.
Yarışmanın son günü, Windows 11 ve Red Hat Enterprise Linux for Workstations’ı hedef alan yeni saldırılar ve VMware ESXi üzerinde bir bellek bozulma hatası ile gerçekleştirilen bir saldırı gerçekleşti.
Koruma ve Güncellemeler
Pwn2Own sona erdiğinde, yazılım sağlayıcılarının 90 gün içinde güvenlik yamaları yayınlaması gerekmektedir. Bu sürede yamaların yayınlanmaması durumunda, TrendMicro’nun Sıfır Gün İnisiyatifi (ZDI) bu açıkları kamuya ifşa edecektir.
Sonuç ve Öneriler
Kuruluşlar ve bireyler, mevcut yazılımlarını güncellemek ve herhangi bir açık ile ilgili koruma önlemlerini almak için derhal harekete geçmelidir. Aşağıdaki adımları izlemek önemlidir:
- Yazılımları güncelleyin: Tüm yazılımlarınızı en son güvenlik yamalarını içerecek şekilde güncel tutun.
- Portları kapatın: Gereksiz açık portları kapatın ve ağ güvenlik duvarınızı gözden geçirin.
- Açıkları izleyin: Güncel güvenlik açıkları için raporları takip edin ve gerekli önlemleri alın.
Güvenliğinizi artırmak ve riskleri minimize etmek için proaktif olmalısınız.
