Pwn2Own 2026: Microsoft Exchange bucato per 200.000$, cadono anche Windows 11 e Red Hat Linux. 15 zero-day in un giorno (aggiornato: 17 maggio 2026, ore 10:57)

Quindici vulnerabilità zero-day in un solo giorno. Pwn2Own Berlin 2026 non è ancora a metà del suo percorso e il bilancio è già pesante: nella seconda giornata della competizione organizzata dalla Zero Day Initiative (ZDI) di Trend Micro, i ricercatori di sicurezza hanno incassato complessivamente 385.750 dollari dimostrando exploit funzionanti contro alcuni dei prodotti più diffusi negli ambienti enterprise. Microsoft Exchange, Windows 11, Red Hat Enterprise Linux for Workstations e diversi strumenti di intelligenza artificiale sono finiti nel mirino. Per gli amministratori di sistema che gestiscono queste piattaforme, il conto alla rovescia verso le patch è già iniziato.

Exchange sotto assedio: esecuzione di codice remoto con privilegi SYSTEM

L'exploit più remunerativo della giornata porta la firma di Orange Tsai del DEVCORE Research Team. Il ricercatore taiwanese ha concatenato tre bug distinti per costruire un attacco contro Microsoft Exchange, ottenendo l'esecuzione di codice remoto con privilegi SYSTEM - dal punto di ingresso al controllo totale del server. Il premio: 200.000 dollari.

I privilegi SYSTEM su un server Exchange significano accesso illimitato alla posta elettronica dell'intera organizzazione e, spesso, una posizione privilegiata per muoversi lateralmente nella rete. Exchange resta uno dei bersagli più ambiti da gruppi APT e operatori ransomware. Un exploit di questo tipo, sfruttato nel mondo reale prima della pubblicazione della patch, avrebbe conseguenze devastanti.

Windows 11: quattro exploit in due giorni

La giornata inaugurale aveva già messo in difficoltà Microsoft - tre ricercatori diversi avevano dimostrato altrettanti bug di escalation dei privilegi in Windows 11 - e il secondo giorno ha aggiunto un colpo ulteriore. Siyeon Wi ha sfruttato un bug di integer overflow per ottenere un'escalation dei privilegi, guadagnando 7.500 dollari.

Il bottino è modesto rispetto al colpo su Exchange, ma il dato che conta è un altro: quattro exploit distinti contro Windows 11 in appena 48 ore. Le vulnerabilità dimostrate nella prima giornata comprendevano un difetto di controllo degli accessi, un buffer overflow basato su heap e un bug use-after-free, individuati rispettivamente da Angelboy e TwinkleStar03 del programma di stage DEVCORE, da Marcin Wiązowski e da Kentaro Kawane di GMO Cybersecurity - 30.000 dollari a testa.

La varietà delle classi di bug dice qualcosa di preciso: non sono varianti dello stesso difetto, ma superfici di attacco differenti. La superficie esposta di Windows 11 resta ampia, e le patch in arrivo nei prossimi mesi andranno applicate senza rimandare.

Strumenti AI nel mirino

Una delle novità di questa edizione berlinese è l'inclusione di categorie dedicate all'intelligenza artificiale. Nella seconda giornata i ricercatori hanno violato con successo Ollama, LM Studio, Claude Desktop, Cursor e OpenAI Codex. Gli strumenti AI che stanno entrando nei flussi di lavoro aziendali portano con sé una superficie di attacco nuova e ancora poco compresa - e Berlino 2026 lo ha reso difficile da ignorare.

Non tutti i tentativi sono andati a buon fine: i concorrenti non sono riusciti a compromettere Microsoft SharePoint e Apple Safari entro il tempo assegnato. A Pwn2Own il limite temporale è rigido: se l'exploit non funziona in pochi minuti, si va a casa a mani vuote. Anche i fallimenti, però, dicono qualcosa sulla robustezza relativa dei diversi bersagli.

Quasi un milione di dollari in due giorni

Sommando i risultati delle prime due giornate, ZDI ha premiato 39 exploit unici per un totale di 908.750 dollari. Per dare un riferimento: l'intera edizione 2025 di Pwn2Own si era chiusa a 1.078.750 dollari per 29 zero-day. Con una giornata ancora da disputare, il 2026 sembra destinato a superare quel record - sia in termini economici sia per numero di vulnerabilità dimostrate.

Il DEVCORE Research Team domina la classifica provvisoria. Dopo i 205.000 dollari accumulati nel primo giorno, i 200.000 di Orange Tsai su Exchange portano il totale della squadra ben oltre i 400.000. Una supremazia che riflette anni di investimento nella ricerca offensiva su prodotti enterprise.

Novanta giorni e poi?

Le regole di Pwn2Own prevedono che i dettagli tecnici delle vulnerabilità vengano comunicati privatamente ai rispettivi produttori. Da quel momento, i vendor hanno 90 giorni per rilasciare le correzioni prima che ZDI pubblichi tutto. È un meccanismo collaudato di responsible disclosure che bilancia la pressione pubblica con un tempo ragionevole per lo sviluppo delle patch.

C'è però un dettaglio che merita attenzione. Già durante la prima giornata si sono verificati casi di «collisione»: exploit perfettamente funzionanti che si basavano su vulnerabilità già note ma non ancora corrette dai produttori - bug di cui i vendor erano al corrente e per i quali non avevano ancora distribuito aggiornamenti. È esattamente il tipo di ritardo che trasforma una vulnerabilità teorica in un rischio concreto.

Per gli amministratori IT e i responsabili della sicurezza, il messaggio che arriva da Berlino è doppio. Servono patch tempestive per le nuove vulnerabilità che emergeranno nelle prossime settimane, certo. Ma vale anche la pena verificare subito di aver applicato tutte le correzioni già disponibili. Se un ricercatore si presenta a una competizione pubblica con un exploit basato su un bug noto, è lecito supporre che qualcun altro - con intenzioni meno accademiche - abbia fatto lo stesso.

Fonti: bleepingcomputer.com, neowin.net, cybersecuritynews.com