هکرهای کلاه سفید در رویداد امنیتی Pwn2Own 2026 با کشف دهها آسیبپذیری روز صفر در ویندوز ۱۱ بیش از ۹۰۰ هزار دلار جایزه گرفتند.
به گزارش سرویس امنیت سایبری تکناک، برخی از شما شاید با رویداد امنیتی Pwn2Own آشنا باشید؛ مسابقهای در حوزه هک که سالی دو بار توسط Zero Day Initiative (ZDI) برگزار میشود. در این رقابت، هکرهای اخلاقی باید در مدت زمان مشخص، آسیبپذیریهای روز صفر را در محصولات محبوب پیدا کنند و در صورت موفقیت، جوایز نقدی قابل توجهی دریافت میکنند. در سالهای گذشته شاهد نفوذ هکرهای کلاهسفید به محصولاتی مانند ویندوز ۱۱، سرویس Teams و iOS 11.1 بودهایم و رویداد Pwn2Own 2026 که اکنون در حال برگزاری است نیز از این قاعده مستثنا نیست.
در روز دوم این رویداد سهروزه، شرکتکنندهای به نام Siyeon Wi موفق شد با بهرهگیری از یک باگ سرریز عدد صحیح در ویندوز ۱۱، حمله ارتقای سطح دسترسی انجام دهد و جایزه ۷۵۰۰ دلاری دریافت کند. در همین حال، Orange Tsai از تیم تحقیقاتی DEVCORE با زنجیره کردن سه آسیبپذیری در یک حمله پیچیده توانست به سطح دسترسی SYSTEM دست پیدا کند؛ سطح دسترسی که به او اجازه داد اجرای کد از راه دور را در Microsoft Exchange فعال کند. او برای این دستاورد ۲۰۰ هزار دلار جایزه دریافت کرد.
در این رقابت، بسیاری از ابزارهای هوش مصنوعی نیز از جمله Ollama، LM Studio، Claude Desktop، Cursor و OpenAI Codex با موفقیت هک شدند. البته در روز دوم تلاشهای ناموفقی هم وجود داشت. برای مثال، شرکتکنندگان نتوانستند در بازه زمانی تعیینشده آسیبپذیری قابل بهرهبرداری در Microsoft SharePoint و مرورگر Apple Safari پیدا کنند. در مجموع، در روز دوم برای کشف ۱۵ آسیبپذیری روز صفر منحصربهفرد در ویندوز ۱۱، ۳۸۵ هزار و ۷۵۰ دلار جایزه پرداخت شد.
پیش از این، در روز نخست مسابقه نیز ویندوز ۱۱ چندین بار از طریق مشکل «کنترل دسترسی نادرست»، سرریز بافر مبتنی بر heap و آسیبپذیریهای Use‑After‑Free مورد نفوذ قرار گرفت. همچنین Orange Tsai موفق شد چهار باگ منطقی در مرورگر اج را به یکدیگر متصل و از محیط sandbox فرار کند؛ دستاوردی که ۱۷۵ هزار دلار جایزه برای او به همراه داشت. طبق گزارش نئووین، در روز اول، در مجموع ۵۲۳ هزار دلار برای کشف ۲۴ آسیبپذیری روز صفر پرداخت شد و به این ترتیب مجموع جوایز دو روز نخست به ۹۰۸ هزار و ۷۵۰ دلار و تعداد اکسپلویتهای کشفشده به ۳۹ مورد رسید.
به طور کلی، چنین رویدادهایی اهمیت زیادی دارند، چرا که به افراد اجازه میدهند مهارتهای هک اخلاقی خود را در محیطی امن تمرین کنند و در عین حال برای تلاشهای خود پاداش دریافت نمایند. در مقابل، شرکتهای سازنده نرمافزار و سختافزار نیز فرصت پیدا میکنند تا سازوکارهای امنیتی محصولات خود را بهبود دهند؛ موضوعی که در نهایت به نفع کاربران عادی تمام میشود. آسیبپذیریهای روز صفر کشفشده ابتدا در محل توسط نمایندگان شرکتها و تیم ZDI بررسی و تایید میشوند و سپس شرکتکننده به صورت خصوصی نحوه اجرای حمله را برای داوران مهندسی معکوس میکند. به عنوان حامی اصلی این رویداد، ZDI بخش عمده جوایز نقدی را به برندگان اهدا میکند. باید دید در روز سوم مسابقه Pwn2Own 2026 که فردا در برلین برگزار میشود، چه دستاوردهای فنی دیگری ثبت خواهد شد.
