Red Hat, Windows и VirtualBox пали за один день — и это только начало Pwn2Own

На первом дне хакерского соревнования Pwn2Own Berlin 2025 исследователям удалось заработать 260 тысяч долларов, продемонстрировав цепочки уязвимостей нулевого дня в Windows 11, Red Hat Linux и Oracle VirtualBox. Турнир, проходящий в рамках конференции OffensiveCon, в этом году сосредоточен на взломе корпоративных технологий и впервые включает категорию атак на искусственный интеллект.

Одним из первых под удар попал Red Hat Enterprise Linux for Workstations. Участник команды DEVCORE Research Team под псевдонимом Pumpkin смог выполнить локальное повышение привилегий за счёт переполнения целого значения и получил за демонстрацию эксплойта 20 тысяч долларов. Аналогичный успех продемонстрировали Хёнву Ким и Вонги Ли, использовав цепочку из use-after-free и утечки информации. Однако в этой попытке одно из звеньев оказалось известной уязвимостью (N-day), из-за чего была засчитана «коллизия» с уже задокументированной ошибкой, а не полноценная находка.

Windows 11 также оказалась уязвимой. Чен Ле Ци из STARLabs SG получил 30 тысяч долларов за успешное повышение привилегий до уровня SYSTEM через цепочку use-after-free и переполнения целого значения. Ещё дважды система была скомпрометирована до SYSTEM: Марчин Вёнзовски использовал ошибку записи за границы буфера, а Хёнджин Чой продемонстрировал атаку с применением type confusion.

Серьёзный вклад в сумму вознаграждений внёс коллектив Team Prison Break. Им удалось выйти из изоляции Oracle VirtualBox и выполнить произвольный код на хост-системе с помощью переполнения целого, что принесло им 40 тысяч долларов. Это направление традиционно считается сложным, поскольку требует не только успешного обхода песочницы, но и надёжного управления выполнением на базовой ОС.

Также в первый день соревнований были взломаны ИИ-инструменты. Сина Хейрхах из Summoning Team получил 35 тысяч долларов за использование уязвимости нулевого дня в Chroma и известной ошибки в Nvidia Triton Inference Server. А участники STARLabs SG Билли и Рамдхан взяли 60 тысяч долларов за выход из Docker Desktop и выполнение кода на хосте с помощью уязвимости use-after-free.

Таблица ТОП-5 первого дня соревновай ( Trend Zero Day Initiative )

Хакатон продлится до 17 мая, и на втором дне участники будут пытаться скомпрометировать Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Oracle VirtualBox и Red Hat Linux. Все продукты находятся в актуальном состоянии, что подчёркивает значимость каждого продемонстрированного нулевого дня. У производителей есть 90 дней на выпуск обновлений после официального раскрытия уязвимостей.

Всего в Berlin 2025 разыгрывается более миллиона долларов. Категории атак охватывают не только браузеры и виртуализацию, но и корпоративные приложения, облачную инфраструктуру, автомобили и искусственный интеллект. Несмотря на то что в списке целей значатся и стендовые блоки Tesla Model 3 (2024) и Model Y (2025), на текущий момент на них не зарегистрировано ни одной попытки атаки.