Güvenlik araştırmacıları, PWN2own Berlin 2025’in ilk gününde çeşitli platformlardaki önemli güvenlik açıklarını başarıyla gösterdi ve eve toplam 260.000 dolar ödül aldı.
Yarışmada, açılış AI kategorisi girişleri de dahil olmak üzere 11 farklı istismar denemesi yer aldı.
Star Labs, PWN Yarışması Yüksek Lisansında erken bir liderlik yaptı ve teknik ustalıklarını birden fazla sömürü kategorisinde sergiledi.
.png
)
Windows 11’e karşı üç ayrı başarılı saldırı, Microsoft’un amiral gemisi işletim sisteminde önemli güvenlik zayıflıklarını vurguladı.
Starlabs SG’den Chen Le Qi, bir kullanımsız (UAF) kırılganlığı bir tamsayı taşımı ile birleştiren, ayrıcalıkları sistem seviyesine başarıyla artıran ve 30.000 dolar kazanan sofistike bir istismar zinciri gösterdi.
Bu çok aşamalı saldırı, bellek yolsuzluk güvenlik açıklarının maksimum etki için nasıl zincirlenebileceğini göstermektedir.
Güvenlik araştırmacısı Marcin Wiązowski ayrıca, sistem ayrıcalıklarına başka bir yol sağlayarak sınır dışı bir yazma güvenlik açığı yoluyla Windows 11 güvenliğini ihlal etti.
Teknik olarak zarif sömürüsü 30.000 dolarlık aynı tazminat kazandı.
Windows 11 Trifecta’yı tamamlayan Hyeonjin Choi, sınırların dışındaki Hyeonjin Choi, ayrıcalıkları yükseltmek için bir karışıklık kırılganlığından yararlandı ve platformu etkileyen hata sınıflarının çeşitliliğini gösterdi.
Bu başarılı istismarlar, Windows 11’in güvenlik mimarisinde Microsoft’un derhal ele alması gereken kalıplarla ilgili olduğunu ortaya koyuyor.
Red Hat Linux imtiyazının artması
Red Hat Linux, yarışma sırasında birden fazla ayrıcalık yükseltme tekniklerine duyarlı olduğunu kanıtladı.
Devcore Araştırma Ekibi’nden araştırmacı balkabağı, ayrıcalıkları yükseltmek için bir tamsayı taşma güvenlik açığından başarılı bir şekilde yararlanarak 20.000 dolar kazandı.
Tamsayı taşmaları, kurumsal Linux dağıtımlarında bile bellek-safe kodunda önemli risk vektörleri sunmaya devam etmektedir.
Ayrı bir saldırıda, Hyunwoo Kim ve Theori’den Wongi Lee, Red Hat Linux’ta kök erişimini sağlamak için bir bilgi sızıntısını UAF güvenlik açığı ile birleştirdiler.
Kısmen daha önce bilinen bir güvenlik açığına dayanmasına rağmen, istismar zincirleri, daha ciddi saldırıları kolaylaştırmak için bilgi açıklamasının nasıl kaldırılabileceğini gösterdi.
Hata çarpışmasına rağmen, bu teknik başarı onlara 15.000 dolar kazandı ve Linux çekirdeğinde güvenlik odaklı dağıtımları bile etkileyen devam eden bellek güvenliği sorunlarını vurguladı.
Virtualbox ve Docker kaçışları
Günün en kazançlı istismarları sanallaştırma teknolojilerini hedefledi.
Team Cezaevi Break, ana bilgisayar işletim sisteminde kod yürütülmesine izin veren bir tamsayı taşma güvenlik açığı kullanarak etkileyici bir Oracle Virtualbox Escape’i gerçekleştirdi.
Sanal makine izolasyonunu atlamadaki teknik başarıları onlara 40.000 dolar kazandı ve sanallaştırılmış ortamlar için ciddi güvenlik etkileri gösterdi.
Günün en yüksek ödemesi, Linux çekirdeğinde Docker masaüstü konumundan kaçmak ve temel ana bilgisayarda kod yürütmek için Linux çekirdeğinde bir UAF güvenlik açığından yararlanan Star Labs’tan Billy ve Ramdhan’a gitti.
Bu sofistike konteyner kaçışları onlara 60.000 dolar kazandı ve çekirdek seviyesi güvenlik açıklarının konteynerizasyon teknolojilerinin izolasyon garantilerini nasıl tehlikeye atabileceğini gösterdi.
Teknik başarıları, Star Labs’ı devam eden PWN Yarışması Üstatında öncü olarak yerleştiriyor.
Rapora göre, PWN2OWN etkinliği, siber güvenlik araştırma manzarasında yeni bir sınır kurarak Chroma’yı uzatan Sina Kheirkhah, Sina Kheirkhah’ın ilk başarılı AI güvenlik istismarıyla tarih yazdı.
İkinci gün, rekabet devam ettikçe ek yüksek kalibreli teknik gösteriler vaat ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!