Pwn2Own Berlin 2026 yarışmasının ikinci gününde katılımcılar, Windows 11, Microsoft Exchange ve Red Hat Enterprise Linux for Workstations dahil olmak üzere birden fazla üründe 15 farklı sıfır gün güvenlik açığını başarıyla istismar ederek 385.750 dolar ödül kazandı. OffensiveCon konferansında düzenlenen etkinlik, kurumsal teknolojiler ve yapay zeka odaklı olarak üç gün boyunca devam ediyor. Güvenlik araştırmacıları, web tarayıcıları, kurumsal uygulamalar, bulut ve konteyner ortamları gibi birçok kategoride tamamen güncellenmiş ürünleri hackleyerek 1 milyon doların üzerinde ödül kazanma şansına sahip.

Microsoft Exchange Hackine Üç Zafiyetin Zincirlenmesiyle İmza Atıldı

İkinci günün en dikkat çekici anı, DEVCORE Araştırma Ekibi’nden Cheng-Da Tsai’nin (Orange Tsai olarak da biliniyor) Microsoft Exchange üzerinde SYSTEM ayrıcalıklarıyla uzaktan kod çalıştırmayı başarması oldu. Microsoft Exchange sıfır gün açığı araştırmacısı, üç farklı güvenlik açığını birbirine zincirleyerek bu başarıya ulaştı ve 200.000 dolar ödül kazandı. Pwn2Own yarışma kurallarına göre, tüm hedef cihazlar en son işletim sistemi sürümleriyle çalışıyor ve katılımcıların hedef üzerinde keyfi kod çalıştırmayı kanıtlaması gerekiyor.

Windows 11 tarafında Siyeon Wi, bir tamsayı taşması açığını istismar ederek işletim sistemini hackledi ve 7.500 dolar ödül kazandı. Ben Koo ise Team DDOS bünyesinde Red Hat Enterprise Linux for Workstations üzerinde root ayrıcalıklarına yükselmeyi başararak 10.000 dolar ödülün sahibi oldu. Ayrıca 0xDACA ve Noam Trobishi, NVIDIA Container Toolkit’te bir use-after-free açığını kullanarak başarılı bir istismar gerçekleştirdi.

Yapay Zeka Kodlama Ajanları da Hedefteydi

Yapay zeka kategorisinde de önemli başarılar elde edildi. Viettel Cyber Security’den Le Duc Anh Vu, Cursor AI kodlama ajanını hackleyerek 30.000 dolar kazandı. Summoning Team’den Sina Kheirkhah, OpenAI Codex’te bir sıfır gün açığını göstererek 20.000 dolar ödül alırken, Compass Security de Cursor’da başka bir açığı istismar ederek 15.000 dolar kazandı.

👉️ İlginizi Çekebilir: OpenAI TanStack Tedarik Zinciri Saldırısında Güvenlik İhlalini Doğruladı

Yarışmanın ilk gününde Orange Tsai, Microsoft Edge sandbox kaçışı için 4 mantık açığını zincirleyerek 175.000 dolar daha kazanmıştı. IBM X-Force Offensive Research’ten Valentina Palmiotti (chompie), Red Hat Linux for Workstations’ı rootlamak için 20.000 dolar ve bir NVIDIA Container Toolkit sıfır gün açığı için 50.000 dolar topladı. Windows 11 ise ilk günde Angelboy ve TwinkleStar03 (DEVCORE Staj Programı ile çalışarak), GMO Cybersecurity’den Kentaro Kawane ve Marcin Wiązowski tarafından üç kez hacklendi. Her biri yeni ayrıcalık yükseltme sıfır gün açıkları göstererek 30.000 dolar ödül kazandı.

Üçüncü Günde VMware ve SharePoint Hedef Alınacak

Pwn2Own Berlin 2026’nın üçüncü ve son gününde araştırmacılar, Microsoft Windows 11, VMware ESXi, Red Hat Enterprise Linux, Microsoft SharePoint ve birkaç yapay zeka kodlama ajanını hedef alacak. Geçen yılki Pwn2Own Berlin yarışmasında Trend Micro’nun Zero Day Initiative’i, 29 sıfır gün açığı ve bazı hata çakışmaları için 1.078.750 dolar ödül vermişti. Yarışmada keşfedilen tüm sıfır gün açıkları, satıcılara ifşa edildikten sonra düzeltilmeleri için 90 gün süre tanınıyor.