Pwn2Own Berlino 2026: hacker incassano 1,3 milioni con 47 zero-day

I ricercatori di sicurezza hanno guadagnato 1.298.250 dollari, pari a circa 1,19 milioni di euro, sfruttando 47 zero-day unici durante Pwn2Own Berlino 2026. L’evento organizzato da Trend Micro Zero Day Initiative si è svolto dal 14 al 16 maggio 2026 nell’ambito di OffensiveCon e ha visto i partecipanti attaccare prodotti enterprise completamente aggiornati con un focus su tecnologie Microsoft, virtualizzazione, container e sistemi di intelligenza artificiale. Il team DEVCORE ha dominato la classifica con 50,5 punti Master of Pwn e 505.000 dollari di premi. Orange Tsai ha incassato centinaia di migliaia di dollari grazie a catene di exploit contro Microsoft Exchange e Microsoft Edge. La competizione ha superato i record dell’anno precedente dimostrando vulnerabilità critiche in Windows 11, Red Hat Enterprise Linux, NVIDIA Container Toolkit e VMware ESXi. L’edizione 2026 conferma la crescente importanza di Pwn2Own come piattaforma di ricerca avanzata sulla sicurezza enterprise e cloud.

Pwn2Own Berlino 2026 chiude con un montepremi record

Pwn2Own Berlino 2026 distribuisce in tre giorni un montepremi totale di 1.298.250 dollari. Il primo giorno i ricercatori incassano 523.000 dollari sfruttando 24 zero-day unici. Il secondo giorno il bottino sale a 385.750 dollari grazie a ulteriori 15 zero-day mentre il terzo giorno vengono assegnati altri 389.500 dollari per otto exploit aggiuntivi. Il totale di 47 exploit zero-day supera nettamente i 29 zero-day e gli 1.078.750 dollari registrati nell’edizione 2025. Trend Micro Zero Day Initiative conferma che tutti gli attacchi colpiscono prodotti completamente patchati e aggiornati a maggio 2026. I vendor coinvolti avranno ora 90 giorni di tempo per correggere le vulnerabilità prima della divulgazione tecnica completa. Questo modello consente di migliorare la sicurezza globale senza esporre immediatamente utenti e aziende a exploit pubblici utilizzabili in attacchi reali.

DEVCORE domina la competizione con oltre mezzo milione di dollari

Il team taiwanese DEVCORE, guidato da Orange Tsai, conquista il titolo di Master of Pwn 2026 con 50,5 punti e un premio complessivo di 505.000 dollari. Il gruppo dimostra una superiorità tecnica evidente soprattutto sui target Microsoft, accumulando punti attraverso exploit contro Microsoft SharePoint, Microsoft Exchange, Microsoft Edge e diverse build di Windows 11. Il risultato supera nettamente quello del vincitore 2025, STARLabs SG, che quest’anno si ferma a 242.500 dollari e 25 punti. Al terzo posto si posiziona Out Of Bounds con 95.750 dollari e 12,75 punti. La performance di DEVCORE conferma la reputazione internazionale del team nella ricerca avanzata di vulnerabilità enterprise. La capacità di concatenare più bug in exploit affidabili contro sistemi completamente aggiornati dimostra un livello di sofisticazione estremamente elevato, soprattutto in ambienti Microsoft tradizionalmente molto difesi.

Orange Tsai sfrutta Exchange ed Edge con exploit avanzati

Orange Tsai, conosciuto anche come Cheng-Da Tsai, realizza due delle dimostrazioni più impressionanti dell’intero evento. Su Microsoft Exchange incassa 200.000 dollari utilizzando una catena composta da tre vulnerabilità che consente l’esecuzione di codice remoto con privilegi SYSTEM. Si tratta di una delle prime catene complete dimostrate pubblicamente contro un server Exchange completamente aggiornato. Su Microsoft Edge ottiene invece 175.000 dollari grazie a una sandbox escape costruita concatenando quattro bug di logica differenti. Le due catene da sole fruttano a DEVCORE ben 375.000 dollari e dimostrano che anche prodotti Microsoft considerati maturi e protetti possono essere compromessi tramite tecniche avanzate. Gli exploit mostrano inoltre la crescente complessità della ricerca moderna sugli zero-day, dove spesso non basta una singola vulnerabilità ma servono concatenazioni sofisticate per raggiungere l’esecuzione di codice completa.

Windows 11 viene hackerato più volte durante il contest

Windows 11 emerge come uno dei target più colpiti dell’edizione 2026. Il primo giorno tre team differenti dimostrano exploit zero-day distinti contro il sistema operativo Microsoft. Nel secondo giorno arriva anche un’ulteriore escalation di privilegi locale capace di ottenere accesso elevato su sistemi completamente aggiornati. Gli exploit mostrano come sia ancora possibile compromettere build patchate di Windows 11 attraverso vulnerabilità non ancora individuate da Microsoft.

Questo conferma che il sistema operativo resta uno degli obiettivi a più alto valore per ricercatori, gruppi offensivi e cybercriminali. Le dimostrazioni di Pwn2Own evidenziano inoltre come molte tecniche moderne si concentrino su escalation locali e bypass di sandbox piuttosto che su semplici exploit remoti tradizionali. La presenza di più zero-day indipendenti nello stesso evento rappresenta un segnale importante per Microsoft e per le organizzazioni enterprise che utilizzano Windows 11 su larga scala.

Red Hat Linux e NVIDIA Container Toolkit sotto attacco

La ricercatrice Valentina Palmiotti, conosciuta come chompie e membro di IBM X-Force Offensive Research, guadagna 70.000 dollari dimostrando due exploit distinti contro ambienti Linux enterprise e infrastrutture container. Il primo exploit ottiene privilegi root su Red Hat Enterprise Linux for Workstations mentre il secondo colpisce il NVIDIA Container Toolkit.

Anche altri ricercatori riescono successivamente a compromettere sistemi Red Hat Linux, confermando l’interesse crescente verso le piattaforme enterprise Linux utilizzate nei datacenter e nei cloud moderni. Gli exploit contro il toolkit NVIDIA risultano particolarmente significativi perché colpiscono componenti utilizzati nei container AI e negli ambienti GPU accelerati. Questi risultati evidenziano vulnerabilità critiche in tecnologie considerate fondamentali per infrastrutture cloud, orchestrazione container e workload di intelligenza artificiale distribuiti su larga scala.

VMware ESXi e agenti AI diventano nuovi target critici

Il secondo giorno della competizione vede la comparsa dei primi exploit zero-day contro diversi AI coding agents. I ricercatori dimostrano come modelli di intelligenza artificiale utilizzati per generare codice possano essere manipolati attraverso input malevoli progettati per alterarne il comportamento. Il terzo giorno arriva invece uno degli exploit più delicati dell’evento: un hack contro VMware ESXi ottenuto sfruttando un bug di memory corruption.

Gli attacchi contro ESXi risultano particolarmente critici perché colpiscono hypervisor utilizzati in migliaia di infrastrutture enterprise e cloud. La presenza di categorie dedicate ad AI e virtualizzazione conferma il cambiamento strategico di Pwn2Own, sempre più orientato verso tecnologie emergenti e sistemi infrastrutturali ad alto impatto.

La sicurezza degli agenti AI rappresenta inoltre una nuova frontiera per la ricerca offensiva, soprattutto considerando la rapida integrazione dell’intelligenza artificiale nei workflow di sviluppo software enterprise.

Pwn2Own rafforza la sicurezza enterprise globale

Pwn2Own Berlino 2026 conferma il valore strategico del contest per la scoperta preventiva di vulnerabilità critiche. I ricercatori mostrano catene complesse capaci di combinare più bug per ottenere accesso completo ai sistemi. Questo approccio consente ai vendor di correggere problemi che altrimenti potrebbero restare invisibili per anni e venire sfruttati in campagne offensive reali. Trend Micro sottolinea che tutti gli exploit resteranno riservati fino alla scadenza del periodo di disclosure di 90 giorni concesso ai produttori. Questa finestra permette ai vendor di sviluppare patch senza esporre immediatamente gli utenti a rischi concreti. Per molte aziende, Pwn2Own rappresenta ormai uno dei principali strumenti indiretti di hardening della sicurezza. La qualità tecnica delle dimostrazioni mostra inoltre quanto la ricerca sugli zero-day sia diventata sofisticata, specialmente negli ambienti enterprise moderni basati su cloud, containerizzazione e AI.

L’edizione 2026 supera tutti i record precedenti

L’edizione 2026 batte ogni record storico di Pwn2Own Berlino. Il montepremi cresce di circa il 20 per cento rispetto agli 1.078.750 dollari del 2025 mentre il numero totale di zero-day aumenta del 62 per cento. La maggiore attenzione verso tecnologie enterprise, AI e infrastrutture cloud attira team di ricerca di altissimo livello provenienti da tutto il mondo. A differenza dell’edizione precedente, il numero ridotto di collisioni tra vulnerabilità permette una competizione più fluida e produttiva. Questo significa che diversi team scoprono exploit completamente differenti sugli stessi prodotti senza sovrapporsi tra loro. L’aumento del livello tecnico riflette anche la crescente professionalizzazione della ricerca offensiva. Team come DEVCORE, STARLabs SG e IBM X-Force operano ormai con metodologie comparabili a quelle di veri laboratori avanzati di offensive security.

Microsoft, VMware e NVIDIA devono accelerare le patch

I risultati di Pwn2Own Berlino 2026 rappresentano un segnale d’allarme per vendor come Microsoft, Red Hat, NVIDIA, VMware e per i produttori di agenti AI. Le catene di exploit dimostrate mostrano vulnerabilità profonde che richiederanno patch rapide e approfondite. Gli amministratori enterprise dovranno monitorare attentamente i prossimi bollettini di sicurezza pubblicati dai vendor coinvolti. Le organizzazioni che utilizzano Exchange, Edge, Windows 11, container NVIDIA o VMware ESXi dovranno applicare gli aggiornamenti non appena disponibili. La presenza di exploit contro sistemi completamente aggiornati dimostra inoltre che il patching tradizionale da solo non basta più a garantire una protezione completa. Le aziende dovranno combinare segmentazione, monitoraggio comportamentale, hardening e controllo degli accessi per ridurre l’impatto potenziale di vulnerabilità zero-day future.

Pwn2Own continua a guidare l’innovazione nella cybersecurity

Pwn2Own Berlino 2026 dimostra ancora una volta perché il contest resta uno degli eventi più importanti per la ricerca di vulnerabilità zero-day. La competizione rivela bug che altrimenti avrebbero potuto essere sfruttati in attacchi reali contro aziende, cloud provider e infrastrutture critiche. I ricercatori ottengono premi milionari e riconoscimenti internazionali mentre i vendor ricevono dati fondamentali per rafforzare i propri prodotti. L’edizione 2026 chiude con un bilancio estremamente positivo per la comunità della sicurezza offensiva e difensiva. L’inclusione di categorie dedicate ad AI, container e virtualizzazione mostra inoltre la capacità di Pwn2Own di adattarsi rapidamente all’evoluzione tecnologica del settore enterprise. La crescita continua del montepremi e del numero di exploit conferma che la scoperta responsabile di vulnerabilità resta uno degli strumenti più efficaci per migliorare concretamente la resilienza della sicurezza globale.