Thought Leadership
Beim Hacking-Wettbewerb Pwn2Own Berlin 2026 haben IT-Experten 47 zero-day Sicherheitslücken in Windows, Linux, VMware, Nvidia und KI-Produkten aufgedeckt.
Der Hacking-Wettbewerb Pwn2Own Berlin 2026 ist offiziell zu Ende gegangen. Die teilnehmenden Sicherheitsforscher haben im Rahmen der dreitägigen Veranstaltung Preisgelder in einer Gesamthöhe von knapp 1,3 Millionen US-Dollar für die erfolgreiche Demonstration von bisher unbekannten Sicherheitslücken erhalten. Wie die von Trend Micro betriebene Zero Day Initiative (ZDI) zum Abschluss bekannt gab, beläuft sich die exakte Summe der an die White-Hat-Hacker ausgeschütteten Prämien auf 1.298.250 US-Dollar. Diese finanziellen Belohnungen wurden für das Aufdecken von insgesamt 47 einzigartigen Schwachstellen vergeben. Die Angriffe richteten sich in diesem Jahr gegen weit verbreitete Betriebssysteme wie Windows und Linux, Virtualisierungslösungen von VMware, Hardware-Schnittstellen von Nvidia sowie diverse Softwareprodukte aus dem Bereich der künstlichen Intelligenz.
Spitzenprämien für Angriffe auf Microsoft und VMware
Die Verteilung der Preisgelder zeigte im Verlauf des Turniers eine starke Konzentration auf zwei führende Teams. Die Forschungsgruppen Devcore und StarLabs SG gewannen zusammen fast 750.000 US-Dollar und sicherten sich damit mehr als die Hälfte der gesamten Ausschüttungssumme des Wettbewerbs. Beide Teams erzielten zudem die höchsten Auszahlungen für einzelne Angriffsverkettungen, sogenannte Exploit-Chains.
Das Team Devcore sicherte sich eine Prämie von 200.000 US-Dollar für eine erfolgreiche Remotecodeausführung (Remote Code Execution, RCE) mit umfassenden System-Privilegien auf einem Microsoft Exchange Server. Dasselbe Team erhielt weitere 175.000 US-Dollar für einen verifizierten Ausbruch aus der Sicherheits-Sandbox des Webbrowsers Microsoft Edge sowie 100.000 US-Dollar für die Kompromittierung der Kollaborationsplattform Microsoft SharePoint.
Die Sicherheitsforscher von StarLabs SG erzielten ebenfalls eine maximale Einzelprämie von 200.000 US-Dollar. Ihr Angriff richtete sich gegen die Virtualisierungsplattform VMware ESX. Der gezeigte Exploit beinhaltete ein spezielles Zusatzmodul für die Codeausführung über verschiedene Mandantenumgebungen hinweg (Cross-Tenant Code Execution). Der Hersteller VMware war während der Veranstaltung vor Ort vertreten und hatte im Vorfeld signalisiert, dass erfolgreiche Angriffe auf ESX mit bis zu 200.000 US-Dollar honoriert werden können. Den dritten Platz in der Gesamtwertung der Teams belegte die Gruppe Out Of Bounds, die sich Preisgelder in Höhe von insgesamt 95.750 US-Dollar erarbeitete.
Erfolgreiche Kompromittierung von KI-Produkten
Ein wesentlicher neuer Schwerpunkt des diesjährigen Wettbewerbs lag auf Anwendungen für künstliche Intelligenz und maschinelles Lernen. In dieser Kategorie verzeichneten die Organisatoren der Zero Day Initiative eine Vielzahl erfolgreicher Demonstrationen. Für das Hacken der Tools LiteLLM, OpenAI Codex und LM Studio wurden jeweils Prämien von 40.000 US-Dollar an die teilnehmenden Spezialisten ausgezahlt.
Auch spezialisierte Entwicklungswerkzeuge und Plattformen für lokale KI-Modelle wurden erfolgreich angegriffen. Zwei unterschiedliche Exploits gegen den KI-gestützten Code-Editor Cursor brachten den Forschern Belohnungen von 15.000 und 30.000 US-Dollar ein. Ein Angriff auf das Tool Ollama, das für die lokale Ausführung von großen Sprachmodellen genutzt wird, wurde mit 28.000 US-Dollar belohnt, obwohl dieser spezifische Exploit eine bereits zuvor bekannte Schwachstelle beinhaltete. Weitere Kopfgelder in Höhe von jeweils 20.000 US-Dollar wurden für verifizierte Sicherheitslücken in OpenAI Codex, Claude Code, LM Studio, der NVIDIA Megatron Bridge und Chroma vergeben.
Breite Streuung der Gewinne bei Betriebssystemen und Containern
Die Preisgelder für erfolgreiche Angriffe außerhalb der Hauptkategorien bewegten sich in einem Spektrum zwischen 2.500 und 50.000 US-Dollar. Diese kleineren, aber technisch hochrelevanten Exploits betrafen verschiedene Versionen von Red Hat Linux, das Betriebssystem Windows 11 sowie spezialisierte Software-Komponenten von Nvidia, darunter die NVIDIA Megatron Bridge und das NVIDIA Container Toolkit.
Die Bandbreite der aufgedeckten Fehler reichte von lokalen Rechteausweitungen (Local Escalation of Privilege) bis hin zur Umgehung von Isolationsmechanismen in Container-Infrastrukturen. Alle akzeptierten Schwachstellen wurden gemäß den Regularien direkt an die betroffenen Hersteller übermittelt. Damit startet eine standardisierte Frist von 90 Tagen, in der die Unternehmen Zeit haben, entsprechende Sicherheits-Patches zu entwickeln und zu verteilen, bevor technische Details der Lücken öffentlich publiziert werden dürfen.
Nicht alle Sicherheitsforscher konnten teilnehmen
Trotz der insgesamt sehr hohen Erfolgsquote verliefen nicht alle angemeldeten Angriffe erfolgreich. Die Jury der Zero Day Initiative dokumentierte im Verlauf des Events insgesamt acht gescheiterte Versuche. Diese erfolglosen Demonstrationen richteten sich unter anderem gegen die Oracle Autonomous AI Database, das NV Container Toolkit, OpenAI Codex, den Apple-Browser Safari, Microsoft SharePoint, Red Hat Enterprise Linux for Workstations, den Browser Mozilla Firefox sowie die Virtualisierungsplattform VMware ESX.
Ein logistisches Problem wurde zudem durch Berichte des International Cyber Digest bekannt. Aufgrund des hohen Interesses aus der weltweiten Sicherheits-Community und der begrenzten Zeitdauer des Events waren alle verfügbaren Zeitfenster für die Live-Demonstrationen rasch vollständig ausgebucht. Mehrere internationale Teams von Sicherheitsforschern erhielten dadurch keine Möglichkeit, sich offiziell für den Wettbewerb in Berlin zu registrieren. Einige dieser nicht berücksichtigten Forscher entschieden sich in der Folge dazu, ihre Entdeckungen direkt und ohne finanzielle Entlohnung an die betroffenen Softwarehersteller zu melden. Andere Experten begannen parallel dazu, ihre entwickelten Exploits eigenständig im Internet zu veröffentlichen.
