Pwn2Own 2026'da rekor kıran para ödülü ve sıfır gün takası

Berlin Hilton Oteli'nin küçük odasındaki konuşmalar susuyor, herkes dizüstü bilgisayarların bulunduğu üç masadan birine bakıyor. Yanında iki adam oturuyor, içlerinden biri kulak tıkacı takıyor ve dikkatle ekranlara bakıyor. Sonra gırtlaktan gelen bir çığlık: Sina Kheirkhah ayağa fırlıyor ve rahatlamış bir şekilde elleriyle yüzünü kapatıyor. Claude Code'a karşı başarıyla bir saldırı gerçekleştirdi ve 40.000 dolar kazandı. En azından şu aşamada böyle düşünüyor.

Reklamdan sonra devamını okuyun

Ancak daha sonra ortaya çıktı: “Çağırma Ekibi”nin bir üyesi olan Kheirkhah tarafından bulunan güvenlik açığı, Claude üreticisi Anthropic tarafından zaten biliniyordu ve ödülü dörtte bire düşürüldü. Temel olarak yapay zeka kullanılarak güvenlik açıklarının büyük ölçüde keşfedilmesi nedeniyle, bu yıl bu kopyaların yüzde 42'si (7 yerine 10) daha fazlaydı; yani üretici tarafından zaten bilinen güvenlik açıkları.


Ayrıca muhtemelen olaydan kısa bir süre önce yapılan büyük güvenlik güncellemeleri nedeniyle işe yaramayan geri izleme ve istismarlar da vardı. Hem Salı günü Microsoft Yaması hem de kapsamlı bir Firefox güncellemesi yalnızca birkaç gün önceydi ve görünüşe göre bazı güvenlik açıklarını zararsız hale getirmiş ve rekabet için onları yakmıştı. ZDI'dan Brian Gorenc, Haberler Security ile yaptığı bir röportajda çarpışmaları iyi bir işaret olarak gördü: Uzman, birçok yazılım üreticisinin artık profesyonel boşluk bulucularla aynı güvenlik açıklarını yapay zeka kullanarak otomatik olarak bulduğunu söyledi.

Ve AI yardımı sayesinde (katılımcıların bunu evdeki meslektaşlarıyla video konferanslarla aynı şekilde yapmalarına izin verildi) toplamda 47 olmak üzere yeterince yeni sıfır gün vardı. ZDI, para ödülü olarak toplam 1.298.250 $ ödedi ve geleneksel olarak başarılı katılımcılara, istismarları gösterdikleri dizüstü bilgisayarları (“sahip olmak için pwn”) verdi.

Bu yılki etkinliğin galibi DEVCORE ekibi oldu: 505.000$'lık para ödülü, yani toplam ödülün neredeyse yarısı Tayvanlılara gitti. Microsoft ürünleri Sharepoint, Edge ve Exchange için Berlin'e bir istismar getirdiler; Exchange istismarı sunucunun tamamen ele geçirilmesine bile izin verdi. Explorer Orange Tsai röportajda, yararlanma kodunun yapay zeka tarafından oluşturulduğunu ancak onun fikrine ve talimatlarına dayandığını söyledi.

Reklamdan sonra devamını okuyun

Pwn2Own 2026: Araştırmacı Orange Tsai takas istismarını gösteriyor

Pwn2Own 2026: Araştırmacı Orange Tsai takas istismarını gösteriyor

(Resim: Haberler güvenlik / cku)

Açıkların doğrulanması için sınırlı erişimli oda olan “İfşa Odası”nın kenarındaki güvenlik açığı sorulduğunda, orada bulunan Microsoft Güvenlik Yanıt Merkezi (MSRC) çalışanları ağzı sıkıydı. Hatanın “ilginç” ve yeni olduğunu söylediler ve moderatör Dustin Childs, hatayı düzeltmek için Redmond'da muhtemelen kısa süreli bir gece vardiyası olacağını tahmin etti.

Pwn2Own her yıl düzenleniyor ve 2026'da yine OffensiveCon güvenlik konferansının oturum aralarında düzenlendi. Organizatörler önceden katılmak isteyen birçok kişiyi reddetmek zorunda kaldı; çoğunlukla yapay zeka tarafından oluşturulan yarışma katılımları için zaman aralığı eksikliği vardı. Sıfır Gün Girişimi, bulunan tüm güvenlik açıklarını etkilenen üreticilerin kullanımına ücretsiz olarak sunuyor.


(cku)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir