🏆 Contexte

Source : BleepingComputer, publié le 18 mai 2026. La compétition Pwn2Own Berlin 2026 s’est tenue du 14 au 16 mai 2026 dans le cadre de la conférence OffensiveCon, organisée par la Zero Day Initiative (ZDI) de TrendMicro. Elle ciblait les technologies d’entreprise et l’intelligence artificielle.

💰 Résultats globaux

  • 47 zero-days exploités au total
  • 1,298,250 $ de récompenses distribuées
  • Jour 1 : 523,000 $ pour 24 zero-days
  • Jour 2 : 385,750 $ pour 15 zero-days
  • Jour 3 : 389,500 $ pour 8 zero-days

🥇 Classement

  1. DEVCORE — 50,5 points, 505,000 $ (1er)
  2. STARLabs SG — 25 points, 242,500 $
  3. Out Of Bounds — 12,75 points, 95,750 $

🔓 Exploits notables

  • Orange Tsai (DEVCORE) : 200,000 $ pour une chaîne de 3 bugs permettant une RCE avec privilèges SYSTEM sur Microsoft Exchange ; 175,000 $ supplémentaires pour un sandbox escape sur Microsoft Edge via 4 bugs logiques
  • Valentina Palmiotti (IBM X-Force) : 70,000 $ pour un root sur Red Hat Linux for Workstations et un zero-day NVIDIA Container Toolkit
  • Windows 11 : hacké à plusieurs reprises (LPE)
  • Red Hat Enterprise Linux for Workstations : compromis plusieurs fois
  • VMware ESXi : exploité via un bug de corruption mémoire
  • Agents de codage IA : zero-days démontrés le jour 2
  • Microsoft SharePoint et Microsoft Exchange : ciblés par DEVCORE

📋 Catégories ciblées

  • Navigateurs web, applications d’entreprise, élévation de privilèges locale, serveurs, inférence locale, environnements cloud-native/conteneurs, virtualisation, LLM

⏳ Divulgation responsable

Conformément aux règles ZDI, les vendeurs disposent de 90 jours pour publier des correctifs avant la divulgation publique des vulnérabilités.

📌 Type d’article

Article de presse spécialisée relatant les résultats complets de la compétition Pwn2Own Berlin 2026, à des fins d’information sur l’état de la sécurité des produits enterprise et IA.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1611 — Escape to Host (Privilege Escalation)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 2765 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-earn-1-298-250-for-47-zero-days-at-pwn2own-berlin-2026/

🖴 Archive : https://web.archive.org/web/20260518054147/https://www.bleepingcomputer.com/news/security/hackers-earn-1-298-250-for-47-zero-days-at-pwn2own-berlin-2026/