На второй день Pwn2Own Berlin 2026 исследователи показали рабочие атаки против Microsoft Exchange, Windows 11 и Red Hat Enterprise Linux for Workstations. Это важно не потому, что «сломали всё вокруг», а потому что уязвимости были найдены в полностью обновлённых продуктах, которые используются в корпоративной инфраструктуре.
Новость важна для администраторов
Pwn2Own Berlin 2026 — это соревнование по взлому, где специалисты по безопасности демонстрируют уязвимости в актуальных версиях популярных продуктов. В отличие от случайных публикаций эксплойтов в интернете, здесь атаки проходят в контролируемой среде: исследователь показывает рабочий способ взлома, организаторы подтверждают результат, а затем информация передаётся вендору для исправления.
15 мая 2026 года Zero Day Initiative опубликовала итоги второго дня конкурса. Участники получили $385 750 за 15 уникальных zero-day уязвимостей. Среди целей были Microsoft Exchange, Windows 11, Red Hat Enterprise Linux for Workstations, NVIDIA Container Toolkit, Cursor, OpenAI Codex, Ollama и другие продукты.
Главный практический вывод простой: даже полностью обновлённые корпоративные системы могут содержать неизвестные ошибки. Это не повод паниковать, но повод внимательно относиться к обновлениям, сегментации сети, резервным копиям и мониторингу подозрительной активности.
Что взломали на Pwn2Own Berlin
Самым заметным результатом второго дня стал взлом Microsoft Exchange. Исследователь Orange Tsai из DEVCORE Research Team связал три уязвимости в одну цепочку и добился удалённого выполнения кода с правами SYSTEM. За эту демонстрацию он получил $200 000 и 20 очков Master of Pwn.
Проще говоря, речь идёт не о локальном доступе к уже захваченной машине, а о сценарии, где атакующий может выполнить код на сервере Exchange удалённо. Для корпоративной инфраструктуры это особенно чувствительная категория: Exchange часто связан с почтой, учётными записями, внутренними коммуникациями и интеграциями с другими сервисами.
Также на второй день были показаны атаки против операционных систем:
- Siyeon Wi использовал integer overflow для повышения привилегий в Microsoft Windows 11 и получил $7 500.
- Ben Koo из Team DDOS применил use-after-free уязвимость для повышения привилегий в Red Hat Enterprise Linux for Workstations и получил $10 000.
- Ранее, в первый день конкурса, Windows 11 уже взламывали несколько раз в категории Local Escalation of Privilege, а Red Hat Enterprise Linux for Workstations также был успешно атакован через race condition.
Здесь важно понимать разницу между удалённым взломом и повышением привилегий. Удалённое выполнение кода может дать атакующему вход в систему без физического доступа. Повышение привилегий обычно работает иначе: злоумышленник уже каким-то образом оказался внутри системы, но использует ошибку, чтобы получить больше прав — например, перейти от обычного пользователя к администратору или root.
Pwn2Own не равен «массовой атаке»
Pwn2Own не публикует готовые инструкции для массовой эксплуатации. Соревнование устроено иначе: исследователь демонстрирует уязвимость организаторам, получает награду, а технические детали передаются производителю. После этого у вендора есть время на исправление. По правилам конкурса, после раскрытия zero-day вендорам обычно даётся 90 дней на выпуск патчей.
Именно поэтому такие события одновременно выглядят тревожно и полезно. С одной стороны, они показывают, что в популярных продуктах остаются серьёзные ошибки. С другой — эти ошибки попадают к разработчикам через контролируемый процесс, а не сразу в публичный оборот.
Microsoft Exchange снова привлекает особое внимание
Microsoft Exchange — один из самых чувствительных корпоративных продуктов. Он отвечает за почту, календарь, адресные книги, внутреннюю коммуникацию и часто тесно связан с доменной инфраструктурой. Если сервер Exchange скомпрометирован, последствия могут быть шире обычной утечки одного сервиса.
Именно поэтому демонстрация удалённого выполнения кода с правами SYSTEM выглядит особенно серьёзно. SYSTEM — это один из самых высоких уровней привилегий в Windows. Если атака такого класса применима в реальной инфраструктуре, она может открыть путь к чтению данных, закреплению в сети, дальнейшему перемещению по системам и попыткам захвата других узлов.
При этом важно не делать преждевременных выводов. На момент публикации речь идёт о демонстрации на конкурсе, а не о подтверждённой массовой эксплуатации. Детали уязвимостей не раскрываются публично сразу, а значит администраторам нужно следить за бюллетенями Microsoft и обновлениями безопасности, а не искать «эксплойт из новости».
Почему Windows 11 и RHEL тоже важны
Взлом Windows 11 и Red Hat Enterprise Linux for Workstations относится к категории повышения привилегий. Такие уязвимости часто недооценивают, потому что они не всегда дают первый вход в систему. Но в реальной атаке они могут быть ключевым вторым шагом.
Типичный сценарий выглядит так:
- атакующий получает ограниченный доступ через фишинг, уязвимое приложение, украденные учётные данные или вредоносный файл;
- затем использует локальную уязвимость для повышения прав;
- после этого отключает защиту, закрепляется в системе, читает чувствительные данные или двигается дальше по сети.
Для рабочих станций и серверов это особенно важно. Windows 11 массово используется на пользовательских компьютерах, а Red Hat Enterprise Linux часто встречается в корпоративных и инженерных средах. Ошибки повышения привилегий в таких системах редко выглядят эффектно для широкой аудитории, но для злоумышленника они могут быть очень ценными.
Что делать администраторам сейчас
Пока вендоры не выпустили исправления, практические действия должны быть аккуратными и без паники.
Во-первых, не стоит пытаться искать подробности эксплойтов на случайных сайтах. В первые дни после таких событий часто появляются фейковые PoC, вредоносные архивы и SEO-страницы, которые используют громкие названия вроде Exchange, Windows 11 и RHEL для распространения мусорного или опасного контента.
Во-вторых, стоит проверить базовую готовность инфраструктуры:
| Зона | Что проверить |
| Microsoft Exchange | актуальность обновлений, ограничение внешнего доступа, журналы аутентификации, необычные ошибки и подозрительные запросы |
| Windows 11 | политика обновлений, EDR/антивирус, права локальных пользователей, контроль запуска неизвестных файлов |
| RHEL | обновления пакетов, sudo-политики, права пользователей, журналы повышения привилегий |
| Сеть | сегментация, резервные копии, MFA, мониторинг lateral movement |
| Процессы | кто отвечает за экстренное обновление, как быстро тестируются и разворачиваются патчи |
В-третьих, нужно отслеживать официальные бюллетени безопасности Microsoft и Red Hat. Сам факт демонстрации на Pwn2Own ещё не означает, что исправление уже доступно. Но после подтверждения уязвимости именно официальные advisory и release notes должны стать главным источником действий.
Чем Pwn2Own Berlin 2026 отличается от обычных новостей об уязвимостях
Обычная новость об уязвимости часто появляется уже после публикации CVE, патча или отчёта исследователя. Pwn2Own показывает более ранний этап: уязвимость уже доказана на практике, но публичных технических деталей ещё может не быть.
Это делает событие полезным индикатором риска. Оно показывает, какие классы продуктов сейчас активно исследуются: корпоративные серверы, операционные системы, браузеры, AI-инструменты, контейнерные компоненты и локальные inference-платформы. В 2026 году это особенно заметно: в расписании Pwn2Own Berlin отдельное внимание уделено AI Databases, Coding Agents и Local Inferences.
Для бизнеса это сигнал, что поверхность атаки расширяется. Раньше основной фокус был на браузерах, ОС, офисных приложениях и серверах. Теперь рядом с ними появляются AI-кодинг-агенты, локальные модели, инструменты для разработчиков и инфраструктура вокруг искусственного интеллекта.
Пока неизвестно
Пока нельзя точно сказать, какие CVE получат показанные уязвимости и когда выйдут исправления. Также неизвестно, насколько легко эти атаки воспроизвести вне конкурсной среды и какие дополнительные условия нужны для эксплуатации.
Это важная оговорка. Демонстрация на Pwn2Own доказывает, что уязвимость существует и может быть использована в заданных условиях. Но она не всегда означает, что завтра появится массовая атака на все установки Exchange, Windows 11 или RHEL.
Итог
Pwn2Own Berlin 2026 снова показал, что даже современные и полностью обновлённые продукты остаются уязвимыми. Microsoft Exchange оказался самым заметным эпизодом второго дня из-за удалённого выполнения кода с правами SYSTEM, а Windows 11 и Red Hat Enterprise Linux напомнили о важности защиты от локального повышения привилегий.
Главный вывод для администраторов и бизнеса: следить за официальными патчами, не игнорировать журналы безопасности, ограничивать лишние привилегии и заранее готовить процесс быстрого обновления. Zero-day не всегда можно предотвратить, но можно снизить ущерб, если инфраструктура не построена по принципу «один взлом — доступ ко всему».
