Pwn2Own Berlin 2026 startet mit 24 Zero‑Day‑Exploits gegen Windows, Edge und KI‑Plattformen

Sandbox‑Mechanismen sollen verhindern, dass Inhalte aus dem Web direkten Zugriff auf das Betriebssystem erhalten. Ein erfolgreicher Sandbox‑Escape ist deshalb besonders kritisch: Angreifer können damit aus einem kompromittierten Browser heraus auf das zugrunde liegende System zugreifen.

Windows 11 gleich dreimal kompromittiert

Auch Windows 11, Microsofts aktuelles Desktop‑Betriebssystem, wurde am ersten Wettbewerbstag dreimal erfolgreich angegriffen. Alle Demonstrationen nutzten bisher unbekannte Privilege‑Escalation‑Schwachstellen.

Erfolgreiche Angriffe zeigten:

• Angelboy und TwinkleStar03 (DEVCORE Internship Program) – Privilege‑Escalation in Windows 11, 30.000 US‑Dollar Preisgeld.
• Marcin Wiązowski – Privilege‑Escalation in Windows 11, 30.000 US‑Dollar.
• Kentaro Kawane (GMO Cybersecurity) – Privilege‑Escalation in Windows 11, 30.000 US‑Dollar.

Solche Angriffe ermöglichen es Angreifern, von einem eingeschränkten Benutzerkonto auf Administrator‑ oder sogar SYSTEM‑Rechte zu eskalieren – ein entscheidender Schritt für die vollständige Übernahme eines Systems.

Die Gesamtbilanz von Tag 1

Der erste Tag des Wettbewerbs zeigt, wie breit die moderne Angriffsfläche geworden ist:

• 24 einzigartige Zero‑Day‑Schwachstellen wurden demonstriert.
• 22 Exploit‑Versuche richteten sich gegen populäre Softwareplattformen.
• Insgesamt wurden 523.000 US‑Dollar an Forscher ausgezahlt.

Neben Betriebssystemen und Browsern standen auch KI‑Tools, Entwicklerplattformen und Infrastruktursoftware im Visier – ein Spiegel der zunehmenden Komplexität moderner IT‑Ökosysteme.

Parallelwarnung: Exchange‑Server‑Zero‑Day im Umlauf

Zeitgleich mit dem Wettbewerb veröffentlichte Microsoft eine Warnung zu einer separaten Zero‑Day‑Schwachstelle im Microsoft Exchange Server, die bereits aktiv ausgenutzt wird.

Die Lücke wird als CVE‑2026‑42897 geführt und entsteht durch eine unzureichende Neutralisierung von Eingaben bei der Webseitengenerierung, also eine Form von Cross‑Site‑Scripting (XSS).

Wichtige Details:

• Betroffen sind Exchange Server 2016, 2019 und die Subscription Edition.
• Angreifer können die Lücke über speziell präparierte Inhalte ausnutzen, die in Outlook‑on‑the‑Web‑Sitzungen ausgeführt werden.
• Microsoft bestätigte, dass die Schwachstelle bereits aktiv in Angriffen verwendet wird.

Obwohl die Warnung zeitlich mit Pwn2Own zusammenfällt, gibt es keine bestätigten Hinweise, dass diese Exchange‑Schwachstelle Teil der im Wettbewerb demonstrierten Exploits war.

Was nach einem Pwn2Own‑Exploit passiert

Der Wettbewerb wird von Trend Micro’s Zero Day Initiative (ZDI) organisiert und folgt einem klaren Responsible‑Disclosure‑Prozess.

Nach einer erfolgreichen Demonstration:

1. Die vollständigen technischen Details werden vertraulich an den Hersteller gemeldet.
2. Der betroffene Anbieter erhält in der Regel etwa 90 Tage Zeit, um einen Patch zu entwickeln und zu veröffentlichen.
3. Erst danach werden technische Details öffentlich gemacht.

Dieses Verfahren soll sicherstellen, dass kritische Schwachstellen zuerst geschlossen werden, bevor detaillierte Exploit‑Informationen öffentlich werden.

Warum diese Ergebnisse wichtig sind

Der erste Tag von Pwn2Own Berlin 2026 verdeutlicht zwei Realitäten der Cybersicherheit:

Einerseits enthalten selbst weit verbreitete und intensiv geprüfte Systeme wie Windows 11 oder Microsoft Edge weiterhin komplexe Sicherheitslücken, die erfahrene Forscher zu leistungsfähigen Angriffsketten kombinieren können.

Andererseits zeigen reale Vorfälle – etwa die aktuell ausgenutzte Exchange‑Server‑Lücke –, dass solche Schwachstellen außerhalb von Wettbewerben tatsächlich von Angreifern eingesetzt werden.

Wettbewerbe wie Pwn2Own sollen genau deshalb diese Forschung in ein kontrolliertes Umfeld verlagern: Sicherheitslücken werden entdeckt, gemeldet und gepatcht – idealerweise bevor sie von Kriminellen großflächig ausgenutzt werden können.