Pwn2Own Berlin 2026 chiude con 47 zero-day e premi record da quasi 1,3 milioni di dollari totali

Il 16 maggio 2026 si è chiusa a Berlino l'edizione 2026 di Pwn2Own, ospitata dall'OffensiveCon. Il bilancio definitivo, comunicato dalla Zero Day Initiative (ZDI) di Trend Micro, parla di 47 zero-day univoci dimostrati in tre giornate e di 1.298.250 dollari distribuiti ai ricercatori che li hanno scoperti. La cifra supera di oltre il venti percento il montepremi della passata edizione berlinese, ferma a 1.078.750 dollari per 29 vulnerabilità.

Il focus dell'edizione 2026 era l'infrastruttura enterprise e le applicazioni di intelligenza artificiale. Le categorie ammesse coprivano browser web, applicazioni enterprise, escalation di permessi locali, server, inferenza locale, ambienti cloud-native e container, virtualizzazione e LLM. Le regole della competizione hanno imposto bersagli aggiornati all'ultima patch disponibile, e richiedevano arbitrary code execution come prova di compromissione: i ricercatori si sono trovati quindi ad operare su superfici considerate sicure dai rispettivi vendor al momento del confronto.

A dominare è stato il team taiwanese DEVCORE, che ha conquistato il titolo di Master of Pwn con 50,5 punti e 505.000 dollari di premi. La prestazione del team è inoltre significativa per la varietà dei bersagli centrati: Microsoft Exchange, Microsoft SharePoint, Microsoft Edge e Windows 11 in tre giorni di gara. STARLabs SG di Singapore ha chiuso al secondo posto con 25 punti e 242.500 dollari; terzo Out Of Bounds, con 12,75 punti e 95.750 dollari.

I bersagli più redditizi: hypervisor, mail server, browser

I singoli premi più alti riflettono dove ZDI ha valutato il rischio come massimo. 200.000 dollari sono andati a Nguyen Hoang Thach di STARLabs SG per un bug di corruzione della memoria su VMware ESXi combinato con l'add-on Cross-tenant Code Execution, scenario che simula la fuga da una tenancy a un'altra sullo stesso hypervisor. Cifra identica a DEVCORE per un RCE con privilegi SYSTEM su Microsoft Exchange. Cheng-Da Tsai, noto come Orange Tsai, ha incassato 175.000 dollari concatenando quattro logic bug per evadere la sandbox di Microsoft Edge. Lo schema premia chiaramente l'impatto sul perimetro enterprise: chi compromette un hypervisor o un mail server riceve un ordine di grandezza in più rispetto a chi scala permessi su un endpoint Windows 11, dove i payout sono oscillati tra 7.500 e 30.000 dollari.

Sul fronte Linux il quadro è più contenuto. Hyunwoo Kim ha concatenato un use-after-free a una variabile non inizializzata per ottenere privilegi di root su Red Hat Enterprise Linux for Workstations, incassando 5.000 dollari. Una seconda dimostrazione contro la stessa piattaforma, firmata Sina Kheirkhah, si è risolta in una vittoria parziale per collisione con bug già noti.

Il fronte AI: coding assistant sotto pressione e collisioni evidenti

La categoria più nuova è anche quella che mostra i sintomi di una superficie d'attacco ancora poco esplorata in modo coordinato. Satoki Tsuji di Ikotas Labs ha portato a casa 20.000 dollari sfruttando OpenAI Codex tramite l'abuso di un meccanismo di controllo esterno, riuscendo a far aprire calcolatori multipli sull'host bersaglio (il classico indicatore proof-of-exploitation di Pwn2Own). Su Anthropic Claude Code sono arrivate due dimostrazioni distinte, da Compass Security e da Out Of Bounds, entrambe classificate come collision: i bug usati erano già stati segnalati. Va ribadito che la collisione non azzera il premio (entrambi i team hanno ricevuto 20.000 dollari), ma è un segnale di quanto stretto sia oggi il bacino di vulnerabilità note sui coding agent commerciali.

I vendor coinvolti hanno ora 90 giorni per pubblicare patch prima della divulgazione tecnica da parte di ZDI. Il dato più rilevante della tre giorni non è il record di payout in sé, ma la composizione del podio dei premi: hypervisor, mail server e agenti di coding LLM nello stesso elenco. La superficie d'attacco "enterprise" oggi include strumenti che fino a due anni fa non esistevano in produzione, e Pwn2Own ha smesso di trattarli come categoria sperimentale.