Nel mondo sempre più interconnesso della sicurezza informatica, eventi come il Pwn2Own rappresentano un momento cruciale per comprendere lo stato dell’arte nella battaglia tra sviluppatori e ricercatori di sicurezza. L’edizione di Berlino 2025 non ha deluso le aspettative, rivelando una realtà tanto affascinante quanto preoccupante: sistemi operativi considerati robusti come Windows 11 e Red Hat Enterprise Linux sono stati “bucati” in poche ore da esperti hacker etici.
Una pioggia di vulnerabilità e di dollari
Il primo giorno del Pwn2Own Berlin 2025, svoltosi nell’ambito della conferenza OffensiveCon, ha visto ricercatori di sicurezza da tutto il mondo dimostrare vulnerabilità zero-day in software di uso quotidiano. L’evento, che si svolge dal 15 al 17 maggio, ha già distribuito premi per un totale di 260.000 dollari solo nella giornata inaugurale.
Particolarmente significativo è stato l’attacco a Red Hat Linux dimostrato dal team DEVCORE, con il ricercatore Pumpkin che è riuscito a sfruttare una falla di tipo “integer overflow” per elevare i privilegi locali e accedere a dati sensibili, guadagnandosi un premio di 20.000 dollari. Sulla stessa piattaforma, il team Theori ha orchestrato un attacco combinato che ha fruttato 15.000 dollari.
Ma è Windows 11, il fiore all’occhiello di Microsoft, ad aver subito ben tre diversi attacchi riusciti. Ricercatori come Chen Le Qi di STARLabs SG e Marcin Wiązowski sono riusciti a ottenere il massimo livello di privilegi (SYSTEM) sul sistema operativo, ciascuno ricevendo un premio di 30.000 dollari. Un terzo attacco, basato su una vulnerabilità di tipo “confusion”, ha portato nelle tasche di Hyeonjin Choi altri 15.000 dollari.
L’intelligenza artificiale nel mirino degli hacker
Quest’anno il Pwn2Own ha introdotto una nuova categoria dedicata all’intelligenza artificiale, segnalando la crescente importanza di questi sistemi nell’ecosistema tecnologico globale. Sina Kheirkhah del team Summoning è entrato nella storia come primo vincitore in questa categoria, compromettendo Chroma e ricevendo un premio di 20.000 dollari.
Lo stesso ricercatore ha poi dimostrato una vulnerabilità in NVIDIA Triton Inference Server, evidenziando come anche le infrastrutture AI di aziende leader nel settore possano presentare debolezze significative.
Virtualizzazione: un altro anello debole
Anche Oracle VirtualBox, soluzione di virtualizzazione ampiamente utilizzata, è caduta sotto i colpi degli esperti. Il team Prison Break ha dimostrato come sia possibile “evadere” dalla sandbox virtuale ed eseguire codice nel sistema operativo host, un tipo di attacco particolarmente insidioso che ha fruttato 40.000 dollari di premio.
Il risultato più impressionante della giornata è stato però quello di STARLabs SG, i cui ricercatori Billy e Ramdhan sono riusciti a sfruttare una vulnerabilità nel kernel Linux per uscire da Docker Desktop ed eseguire codice sull’host, guadagnando il premio più alto della giornata: ben 60.000 dollari.
Un esercizio necessario per la sicurezza globale
Eventi come il Pwn2Own potrebbero apparire come celebrazioni dell’insicurezza digitale, ma rappresentano in realtà un fondamentale meccanismo di difesa per l’ecosistema tecnologico globale. Le vulnerabilità scoperte durante la competizione vengono responsabilmente divulgate ai produttori, che hanno 90 giorni per correggere i problemi prima che i dettagli vengano resi pubblici.
Con un montepremi complessivo superiore al milione di dollari, la competizione incentiva i migliori talenti mondiali della sicurezza informatica a identificare e segnalare problemi critici prima che possano essere sfruttati da attori malintenzionati. Nei prossimi giorni, i ricercatori tenteranno di compromettere altri software di rilievo come Microsoft SharePoint, VMware ESXi e Mozilla Firefox.
Riflessioni sulla sicurezza nell’era digitale
La facilità con cui sistemi operativi e software considerati sicuri vengono compromessi durante eventi come il Pwn2Own solleva interrogativi importanti sulla sicurezza digitale nell’era moderna. In un momento in cui affidiamo sempre più aspetti della nostra vita a dispositivi e servizi connessi, la resilienza di questi sistemi diventa una questione di interesse pubblico.
Per gli utenti e le aziende, la lezione è chiara: nessun sistema è completamente sicuro, e l’aggiornamento costante del software resta una delle principali linee di difesa contro le minacce informatiche. Per i produttori, eventi come il Pwn2Own offrono un’opportunità preziosa per identificare e correggere vulnerabilità prima che possano causare danni reali.
Mentre la competizione prosegue, una cosa appare evidente: la sicurezza informatica rimane un campo in continua evoluzione, una partita a scacchi senza fine tra difensori e attaccanti, dove la posta in gioco non è solo economica ma riguarda la fiducia stessa nel mondo digitale che stiamo costruendo.