Pwn2Own Berlin 2026 Tamamlandı: 47 Sıfır Gün Açık, 1.29 Milyon Dolar Ödül

Pwn2Own Berlin 2026, OffensiveCon kapsamında 14–16 Mayıs tarihleri arasında gerçekleştirildi. Organizasyonda güvenlik araştırmacıları toplam 47 sıfır gün açığı istismar ederek 1 milyon 298 bin 250 dolar ödül kazandı.

Bu yılki yarışmanın odağında kurumsal teknolojiler ve yapay zekâ sistemleri yer aldı. Yarışmacılar; internet tarayıcıları, kurumsal uygulamalar, yerel yetki yükseltme sistemleri, sunucular, bulut altyapıları, konteyner ortamları, sanallaştırma teknolojileri ve büyük dil modelleri gibi birçok kategoride tamamen güncel ürünleri hedef aldı.

 Gün Gün Ödül Dağılımı

Organizasyonun ilk gününde 24 farklı sıfır gün açığı için toplam 523 bin dolar ödül dağıtıldı. İkinci günde 15 sıfır gün açığı için 385 bin 750 dolar, son gün ise sekiz yeni açık için 389 bin 500 dolar ödül verildi.

 DEVCORE Yarışmanın Kazananı Oldu

DEVCORE, yarışmanın genel kazananı oldu. Ekip; Microsoft SharePoint, Microsoft Exchange, Microsoft Edge ve Windows 11 sistemlerini başarıyla istismar ederek toplam 505 bin dolar ödül ve 50,5 “Master of Pwn” puanı topladı.

İkinci sırada 242 bin 500 dolar ödül kazanan STARLabs SG yer alırken, Out Of Bounds ise 95 bin 750 dolarlık ödülle üçüncü sıraya yerleşti.

 “Orange Tsai” Öne Çıktı

Yarışmanın en yüksek tekil ödülü Cheng-Da Tsai’ye, bilinen adıyla “Orange Tsai”ye verildi. Araştırmacı, Microsoft Exchange üzerinde SYSTEM yetkileriyle uzaktan kod çalıştırmayı mümkün kılan üç ayrı açığı zincirleme kullanarak 200 bin dolar ödül kazandı.

Orange Tsai ayrıca dört mantıksal açığı birleştirerek Microsoft Edge sandbox kaçışı gerçekleştirdi ve bu saldırıyla 175 bin dolar daha kazandı.

 Windows 11 ve Linux Sistemleri Hedefteydi

İlk gün içerisinde Windows 11 üç farklı kez başarıyla hacklenirken, Valentina Palmiotti, Red Hat Enterprise Linux sisteminde root erişimi elde ederek ve NVIDIA Container Toolkit için sıfır gün açığı göstererek 70 bin dolar ödül aldı.

İkinci gün Windows 11 için yeni yerel yetki yükseltme açıkları ile Red Hat Enterprise Linux hedef alındı. Ayrıca çeşitli yapay zekâ destekli kodlama ajanlarında da sıfır gün açıkları gösterildi.

Son gün ise VMware ESXi üzerinde bellek bozulması açığı kullanılarak başarılı bir saldırı gerçekleştirildi.

 Yamalar İçin 90 Gün Süre

Pwn2Own Berlin 2026 sonrasında etkilenen teknoloji şirketlerine güvenlik yamalarını yayımlamaları için 90 günlük süre tanındı. Zero Day Initiative, bu sürenin sonunda yamalanmayan açıkların teknik detaylarını kamuoyuyla paylaşacağını açıkladı.

Geçtiğimiz yıl düzenlenen Pwn2Own Berlin yarışmasında ise STAR Labs SG ekibi birinci olmuş, toplam 29 sıfır gün açığı için 1 milyon 78 bin 750 dolar ödül dağıtılmıştı.

Kaynak: Beykozun Sesi