마이크로소프트 익스체인지·윈도우 11, Pwn2Own 2일 차에 해킹당해
Pwn2Own Berlin 2026의 두 번째 날, 참가자들은 Windows 11, Microsoft Exchange, Red Hat Enterprise Linux for Workstations 등 여러 제품에서 15개의 고유 제로데이 취약점을 이용해 현금 상금 385,750 달러를 획득했습니다.
Pwn2Own Berlin 2026 해킹 대회는 5월 14일부터 5월 16일까지 OffensiveCon 컨퍼런스에서 열리며, 엔터프라이즈 기술과 인공지능에 초점을 맞춥니다.
보안 연구원들은 웹 브라우저, 엔터프라이즈 애플리케이션, 클라우드‑네이티브/컨테이너 환경, 가상화, 로컬 권한 상승, 서버, 로컬 추론, LLM 등 완전히 패치된 제품을 해킹함으로써 1,000,000 달러 이상의 현금 및 상품을 받을 수 있습니다.
Pwn2Own 규정에 따르면, 모든 대상 장치는 최신 운영체제 버전을 실행하고, 모든 출품작은 목표를 장악하고 임의 코드 실행을 입증해야 합니다. 제로데이가 Pwn2Own에서 공개된 후 공급업체는 90일 이내에 소프트웨어와 하드웨어를 패치해야 합니다.
두 번째 날의 하이라이트는 DEVCORE Research Team의 Cheng‑Da Tsai(Orange Tsai) 가 200,000 달러를 차지한 것으로, 세 개의 버그를 연쇄시켜 Microsoft Exchange에서 SYSTEM 권한을 가진 원격 코드 실행을 달성했습니다.
Siyeon Wi는 정수 오버플로우 버그를 이용해 Windows 11을 해킹하고 7,500 달러를 획득했으며, Team DDOS의 Ben Koo는 Red Hat Enterprise Linux for Workstations에서 권한을 루트로 상승시켜 10,000 달러를 받았습니다. 또한 0xDACA와 Noam Trobishi는 use‑after‑free 버그를 이용해 NVIDIA Container Toolkit을 악용했습니다.
AI 부문에서는 Viettel Cyber Security의 Le Duc Anh Vu가 Cursor AI 코딩 에이전트를 해킹해 30,000 달러, Summoning Team의 Sina Kheirkhah가 OpenAI Codex 제로데이 시연으로 20,000 달러, Compass Security가 Cursor를 악용해 15,000 달러를 각각 받았습니다.
Pwn2Own 리더보드 (ZDI)
첫 번째 날에 Orange Tsai는 4개의 로직 버그를 연쇄해 Microsoft Edge 샌드박스 탈출에 성공, 175,000 달러를 추가로 획득했습니다. IBM X‑Force Offensive Research의 Valentina Palmiotti(chompie)는 Red Hat Linux for Workstations를 루팅해 20,000 달러, NVIDIA Container Toolkit 제로데이로 50,000 달러를 받았습니다.
Windows 11은 첫 날에도 Angelboy와 TwinkleStar03(DEVCORE 인턴십 프로그램 협업), GMO Cybersecurity의 Kentaro Kawane, Marcin Wiązowski 등 세 팀에 의해 각각 30,000 달러씩의 현금 보상을 받으며 세 차례 해킹되었습니다.
세 번째 날에는 해커들이 Microsoft Windows 11, VMware ESXi, Red Hat Enterprise Linux, Microsoft SharePoint, 그리고 여러 AI 코딩 에이전트를 목표로 할 예정입니다.
두 번째 날 전체 일정과 각 챌린지 결과는 여기에서 확인할 수 있으며, Pwn2Own Berlin 2026 전체 일정은 여기에서 확인할 수 있습니다.
작년 [Pwn2Own Berlin 대회](https://www.bleeping