Pwn2Own Berlin 2026: Sicherheitsforscher kassieren 1,3 Mio. Dollar Preisgeld für 47 Zero-Days

18. Mai 2026

Beim Hacking-Wettbewerb Pwn2Own Berlin 2026 haben Sicherheitsforscher innerhalb von drei Tagen 47 bislang unbekannte Schwachstellen in vollständig gepatchten Systemen demonstriert und dafür Preisgelder in Gesamthöhe von 1.298.250 US-Dollar erhalten — deutlich mehr als beim Vorjahreswettbewerb.

Pwn2Own Berlin 2026 Rangliste

Der Wettbewerb fand vom 14. bis 16. Mai im Rahmen der OffensiveCon-Konferenz in Berlin statt. Im Mittelpunkt standen Unternehmenstechnologien sowie Produkte aus dem Bereich künstliche Intelligenz. Die Teilnehmer griffen ausschließlich vollständig aktualisierte Software an, darunter Systeme aus folgenden Kategorien:

• Webbrowser
• Unternehmensanwendungen
• Lokale Privilegieneskalation
• Server
• Lokale Inferenz
• Cloud-native- und Container-Umgebungen
• Virtualisierung
• Large Language Models (LLM)

Tagesergebnisse im Überblick

Die Ausschüttungen verteilten sich über die drei Wettbewerbstage wie folgt:

• Tag 1: 523.000 US-Dollar für 24 einzigartige Zero-Day-Schwachstellen
• Tag 2: 385.750 US-Dollar für 15 Zero-Day-Schwachstellen
• Tag 3: 389.500 US-Dollar für 8 weitere Zero-Day-Schwachstellen

DEVCORE siegt als „Master of Pwn“

Das Team DEVCORE sicherte sich den Gesamtsieg mit 50,5 Master-of-Pwn-Punkten und einem Preisgeld von 505.000 US-Dollar. Erfolgreich kompromittiert wurden dabei Microsoft SharePoint, Microsoft Exchange, Microsoft Edge sowie Windows 11.

Die weiteren Platzierungen:

• STARLabs SG: 242.500 US-Dollar (25 Punkte)
• Out Of Bounds: 95.750 US-Dollar (12,75 Punkte)

Höchste Einzelprämie: 200.000 Dollar für Exchange-Angriff

Die größte Einzelauszahlung des Wettbewerbs erhielt Cheng-Da Tsai (alias Orange Tsai) vom DEVCORE Research Team. Ihm gelang es, drei Schwachstellen zu verketten und dadurch eine Remote-Code-Ausführung mit SYSTEM-Rechten auf Microsoft Exchange zu erzielen.

Tsai war bereits am ersten Tag aufgefallen, als er durch die Kombination von vier Logikfehlern einen Sandbox-Escape in Microsoft Edge demonstrierte und dafür weitere 175.000 US-Dollar erhielt.

Weitere Highlights

• Windows 11 wurde im Verlauf des Wettbewerbs mehrfach kompromittiert.
• Valentina Palmiotti (IBM X-Force Offensive Research Team) erhielt 70.000 US-Dollar für das Rooten von Red Hat Linux for Workstations sowie einen Zero-Day im NVIDIA Container Toolkit.
• Am zweiten Tag wurden unter anderem Schwachstellen in mehreren KI-Codierungsagenten vorgeführt.
• Am dritten Tag nutzten Teilnehmer einen Speicherfehler zur Kompromittierung von VMware ESXi.

Nächste Schritte für die Hersteller

Nach Abschluss des Wettbewerbs haben die betroffenen Anbieter 90 Tage Zeit, Sicherheitsupdates bereitzustellen. Erst danach veröffentlicht die Zero Day Initiative (ZDI) von Trend Micro die Details zu den gefundenen Schwachstellen.

Vergleich zum Vorjahr

Beim Pwn2Own Berlin 2025, das STARLabs SG gewann, wurden 1.078.750 Dollar für 29 Zero-Day-Schwachstellen vergeben. Die diesjährige Ausgabe übertrifft diesen Wert sowohl bei der Anzahl der gefundenen Lücken als auch beim Gesamtpreisgeld.

Link

Auf YouTube:

Redaktion AllAboutSecurity

Bild/Quelle: https://depositphotos.com/de/home.html