Zero-day sårbarheder i VMware ESXi og Microsoft SharePoint
Hackere udnytter zero-day sårbarheder i VMware ESXi og Microsoft SharePoint under Pwn2Own 2025
Ved andendagen af sikkerhedskonkurrencen Pwn2Own Berlin 2025 blev der udbetalt præmier for i alt 435.000 USD til deltagere, der demonstrerede hidtil ukendte sårbarheder i nogle af verdens mest anvendte erhvervsteknologier, herunder Microsoft SharePoint, VMware ESXi, Red Hat Enterprise Linux, Oracle VirtualBox og Mozilla Firefox.
Begivenheden fandt sted under OffensiveCon-konferencen i Berlin, som i år for første gang også inkluderede en AI-kategori, hvor forskere kunne hacke AI-infrastruktur og -platforme.
Største præmie: Integer overflow i VMware ESXi
Et af højdepunkterne var Nguyen Hoang Thach fra STARLabs SG, som modtog 150.000 USD for en integer overflow exploit mod VMware ESXi – en central komponent i mange virksomheders virtualiseringsmiljøer.
Microsoft SharePoint sårbarhed til 100.000 USD
Dinh Ho Anh Khoa fra Viettel Cyber Security modtog 100.000 USD efter at have demonstreret en kompleks sårbarhed i Microsoft SharePoint. Han kombinerede:
- Authentication bypass
- Usikker deserialisering
til en fuld udnyttelse af systemet gennem en exploit chain.
Flere angreb på kendte platforme
Flere andre prominente hacks blev også fremvist:
- Edouard Bochin og Tao Yan fra Palo Alto Networks demonstrerede en out-of-bounds write zero-day mod Mozilla Firefox.
- Gerrard Tai fra STARLabs SG opnåede root-adgang i Red Hat Enterprise Linux via en use-after-free fejl.
- Viettel Cyber Security udførte også et Oracle VirtualBox guest-to-host escape med endnu en out-of-bounds write exploit.
AI-kategori: Sårbarheder i Redis og Nvidia Triton
For første gang havde AI-infrastruktur sin egen kategori. Her lykkedes det:
- Wiz Research at udnytte en use-after-free sårbarhed i Redis.
- Qrious Secure at kæde fire sårbarheder sammen for at hacke Nvidia’s Triton Inference Server.
Overblik over Pwn2Own Berlin 2025
Konkurrencen fokuserer på zero-day exploits i fuldt opdateret software og hardware, hvor følgende teknologikategorier er dækket:
- Web-browsere
- Virtualisering
- Lokale privilegieeskaleringer
- Servere og cloud-native container-platforme
- AI-systemer
- Enterprise-applikationer
- Automotive (herunder Tesla)
I alt kan deltagerne i år vinde mere end 1 million USD, men ingen angreb på Tesla blev registreret før konkurrencen gik i gang, selvom både en Tesla Model Y (2025) og Model 3 (2024) var opstillet til test.
Første dag: 260.000 USD udbetalt
På konkurrencens første dag blev der også udbetalt 260.000 USD for angreb mod:
- Windows 11
- Red Hat Linux
- Oracle VirtualBox
I alt er der dermed uddelt 695.000 USD i præmier for 20 unikke zero-day sårbarheder over de første to dage.
90 dages deadline til patches
Som standard følger Pwn2Own reglerne fra Trend Micro’s Zero Day Initiative (ZDI). Det betyder, at leverandører af sårbare produkter har op til 90 dage til at frigive sikkerhedsrettelser, før de tekniske detaljer bliver offentliggjort.
Kilde: Pwn2Own Berlin 2025, ICARE.DK
Fotokredit: Pwn2Own Berlin 2025
Personer/Firmaer/Emner/#: #Pwn2Own2025, #VMwareESXi, #MicrosoftSharePoint, #MozillaFirefox, #RedHat, #VirtualBox, #Redis, #Nvidia, #TrendMicro, #ZeroDay, #AIHacking, #STARLabsSG, #ViettelCyberSecurity
Copyrights: Ⓒ 2025 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.
