Pwn2Own Berlin 2025: Sıfır Gün Açıklarını Avlamak
Pwn2Own, siber güvenlik alanında önemli bir etkinlik olarak dikkat çekmektedir. Berlin‘de düzenlenen bu etkinlik, 15-17 Mayıs 2025 tarihleri arasında gerçekleştirilmektedir. Önceki yıllardan farklı olarak, bu sene AI kategorisi de eklenmiştir. Etkinlik, OffensiveCon konferansı ile paralel gerçekleştirilmektedir ve katılımcılar, çeşitli yazılımlarda bulunan sıfır gün açıklarını keşfetmek amacıyla yarışmaktadır.
Hedeflenen Açıklar ve Ödüller
İlk gün, güvenlik araştırmacıları, Windows 11, Red Hat Linux ve Oracle VirtualBox gibi önemli sistemlerde sıfır gün açıklarını başarıyla göstererek toplamda 260.000 dolar kazandılar. Öne çıkanlar arasında, DEVCORE Araştırma Ekibi‘nin Pumpkin isimli üyesi, Red Hat Enterprise Linux için yerel yetki yükseltme kategorisinde bir integer overflow açığını kullanarak 20.000 dolar kazandı.
Ayrıca, Hyunwoo Kim ve Wongi Lee, Red Hat Linux cihazında bir use-after-free ve bilgi sızıntısı hatalarını bir araya getirerek root erişimi elde ettiler. Ancak, kullanılan hatalardan biri N-gün olduğu için hata çakışması yaşandı.
Windows 11’e Yönelik Saldırılar
Windows 11 işletim sistemi, ikinci gün gerçekleştirilen saldırılarda da dikkati çekti. Chen Le Qi, STARLabs SG tarafından, Windows 11 sisteminde use-after-free ve integer overflow hatalarının bir kombinasyonunu kullanarak, SYSTEM yetkisine yükselmeyi başardı ve 30.000 dolar ödül aldı.
Marcin Wiązowski ve Hyeonjin Choi de sırasıyla, bir out-of-bounds write açığını ve bir type confusion sıfır gün açığını kullanarak Windows 11’de SYSTEM yetkilerini ele geçirdiler.
Oracle VirtualBox ve Diğer Hedefler
Oracle VirtualBox‘ta da önemli başarılar kaydedildi. Team Prison Break, bir integer overflow açığını kullanarak Oracle VirtualBox’tan kaçış gerçekleştirdiler ve 40.000 dolar kazandılar. Ayrıca, Summoning Team’den Sina Kheirkhah, Chroma sıfır gün açığı ve Nvidia’nın Triton Inference Server’ındaki bilinen bir açığı kullanarak 35.000 dolar aldı.
STARLabs SG ekip üyeleri Billy ve Ramdhan ise Docker Desktop’tan kaçış yaparak ve bir use-after-free sıfır gün açığı kullanarak 60.000 dolar ödül kazandılar.
İkinci Gün Hedefleri
Pwn2Own’un ikinci günü, Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Red Hat Enterprise Linux for Workstations ve Oracle VirtualBox gibi önemli yazılımlar üzerinde sıfır gün açıklarının keşfi için araştırmacıların savaşacağı bir ortam sunuyor. Katılımcılar, tam yamanmış ürünlere odaklanarak toplamda 1.000.000 dolardan fazla nakit ödül kazanma fırsatı bulacaklar.
Güvenlik Açıkları ve Zaman Dilimi
Pwn2Own sırasında keşfedilen sıfır gün güvenlik açıkları, araştırmacılar tarafından gösterildikten sonra yazılım ve donanım üreticilerine 90 gün içinde güvenlik güncellemeleri yayınlama zorunluluğu getirmektedir. Bu süre zarfında, kullanıcıların güvenliğini sağlamak amacıyla kritik öneme sahip güncellemelerin yapılması gerekmektedir.
Hedeflerin Geniş Kapsamı
Bu yılki Pwn2Own, siber güvenlik araştırmacılarına farklı kategorilerde fırsatlar sunmaktadır. Katılımcılar, yapay zeka, web tarayıcıları, sanallaştırma, yerel yetki yükseltme, sunucular, kurumsal uygulamalar, bulut tabanlı/konteyner ve otomotiv alanlarında hedef belirlemekte ve bu alanlarda sıfır gün açıkları bulmaya çalışmaktadırlar.
Tesla Araçları ve Katılım
Yarışmaya katılımcılar, 2024 Tesla Model 3 ve 2025 Tesla Model Y gibi araçları da hedefleyebilmektedir. Ancak, etkinlik başlamadan önce bu araçlarla ilgili herhangi bir saldırı girişimi kaydedilmemiştir. Bu da, etkinliğin ciddiyetini ve katılımcıların dikkatini koruduğunu göstermektedir.
Pwn2Own Berlin 2025, yarışmacılara hem yeteneklerini sergileme hem de ödüller kazanma fırsatı sunarak siber güvenlik alanında önemli bir etki yaratmayı hedeflemektedir. Bu tür etkinlikler, siber güvenliğin önemini bir kez daha gözler önüne sermekte ve sürekli olarak gelişen tehditlere karşı bilinç oluşturma görevini üstlenmektedir.
