Windows 11 und Exchange bei Pwn2Own 2026 gehackt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Windows 11 und Exchange bei Pwn2Own 2026 gehackt

Am zweiten Tag des Pwn2Own Berlin 2026 Wettbewerbs erhielten Cybersicherheitsforscher Preisgelder in Höhe von 385.750 $, nachdem sie 15 einzigartige Zero-Day-Schwachstellen in Windows 11, Microsoft Exchange und Red Hat Enterprise Linux erfolgreich ausgenutzt hatten.

Bei Pwn2Own Berlin 2026 gewannen Forscher 385.750 $ für die Entdeckung von 15 neuen Zero-Day-Schwachstellen in Windows 11, Microsoft Exchange und RHEL. Details und Analyse.

Zusammenfassung des Ereignisses

Pwn2Own, eines der renommiertesten Events in der Welt der Cybersicherheit, bot auch 2026 in Berlin wieder atemberaubende Momente. Am zweiten Tag der Veranstaltung traten ethische Hacker (Sicherheitsforscher) aus aller Welt in einem intensiven Wettbewerb an, um unbekannte Schwachstellen in der am weitesten verbreiteten Software zu finden. Am 15. Mai 2026 wurden insgesamt 15 neue und bisher unbekannte (Zero-Day) Schwachstellen in kritischen Systemen wie Microsofts Flaggschiff-Betriebssystem Windows 11, dem Unternehmens-E-Mail-Server Microsoft Exchange und Red Hat Enterprise Linux erfolgreich ausgenutzt. Die Forscher, die diese kritischen Lücken aufdeckten, wurden von der Zero Day Initiative (ZDI) von Trend Micro mit einer Rekordsumme von insgesamt 385.750 Dollar belohnt.

Was ist Pwn2Own und warum ist es wichtig?

Pwn2Own ist ein Hacking-Wettbewerb, der Cybersicherheitsforscher dazu anregt, bisher unentdeckte Schwachstellen in populärer Software und Hardware zu finden und zu demonstrieren. Die erstmals 2007 veranstaltete Veranstaltung hat ihren Namen von den Wörtern "own" (die Kontrolle übernehmen) und "pwn" (eine Variante von "own" im Gamer-Jargon). Das Hauptziel des Wettbewerbs ist es, ethische Hacker diese Lücken finden zu lassen, bevor es böswillige Akteure tun, und die Informationen an die Hersteller weiterzugeben, damit diese sie beheben können. Dieser Prozess wird als "verantwortungsvolle Offenlegung" (Responsible Disclosure) bezeichnet. Die ZDI zahlt den Forschern Zehntausende von Dollar für jede Schwachstelle und meldet die Details dann privat an das betreffende Softwareunternehmen (z. B. Microsoft, Red Hat). Die Unternehmen haben in der Regel 90 bis 120 Tage Zeit, um diese Schwachstellen zu beheben. Auf diese Weise werden potenzielle Gefahren, die Millionen von Nutzern betreffen könnten, proaktiv beseitigt.

Der technische Aspekt und die "Zero-Day"-Schwachstelle

Das wichtigste Konzept, das bei dieser Veranstaltung im Mittelpunkt stand, ist die "Zero-Day"-Schwachstelle. Eine Zero-Day-Schwachstelle ist ein Sicherheitsfehler, der dem Softwareentwickler oder der Öffentlichkeit noch nicht bekannt ist. Das bedeutet, wenn ein Angreifer einen "Exploit" (Code, der die Schwachstelle ausnutzt) entwickelt, hat das Softwareunternehmen "null Tage" Zeit, um einen Patch oder ein Update zu veröffentlichen, um den Angriff zu stoppen. Alle 15 bei Pwn2Own demonstrierten Schwachstellen fielen in diese Kategorie, was bedeutet, dass selbst Tech-Giganten wie Microsoft und Red Hat von diesen Sicherheitslücken nichts wussten.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Einige der bemerkenswerten Exploits, die auf dem Wettbewerb demonstriert wurden, waren:

  • Windows 11: Forscher entdeckten eine kritische Schwachstelle im Windows 11-Kernel, die es ihnen ermöglichte, die höchsten Berechtigungen (SYSTEM) auf dem System zu erlangen. Eine solche Schwachstelle ermöglicht es einem Angreifer, die vollständige Kontrolle über einen Computer zu übernehmen, beliebige Programme auszuführen, Dateien zu löschen oder neue Benutzerkonten zu erstellen.
  • Microsoft Exchange: Eine der alarmierendsten Entdeckungen war eine Schwachstellenkette im Microsoft Exchange Server, die eine Remote Code Execution (RCE) ermöglichte. Das bedeutet, ein Angreifer könnte über das Internet und ohne Benutzerinteraktion oder Anmeldeinformationen in einen Exchange-Server eindringen, um alle E-Mails zu lesen, zu ändern oder den Server vollständig zu übernehmen.
  • Red Hat Enterprise Linux (RHEL): Auch in diesem weit verbreiteten Unternehmens-Betriebssystem wurde eine Schwachstelle zur Privilegienerweiterung (Privilege Escalation) gefunden. Dies ermöglicht es einem Angreifer, der mit geringen Benutzerrechten Zugang zum System erlangt hat, die Schwachstelle auszunutzen, um seine Berechtigungen auf die höchste Stufe (root) zu heben.

Wer sind die betroffenen Benutzer?

Diese entdeckten Schwachstellen betreffen potenziell eine sehr breite Benutzerbasis. Zu den Hauptbetroffenen gehören:

  • Private Windows 11-Benutzer: Millionen von PCs und Laptops weltweit sind aufgrund dieser kritischen Schwachstellen in ihrem Betriebssystem gefährdet.
  • Unternehmen: Firmen, die Microsoft Exchange-Server verwenden, sind einer ernsthaften Bedrohung für die Sicherheit ihrer E-Mail-Kommunikation, sensiblen Daten und internen Netzwerke ausgesetzt.
  • Rechenzentren und Server: Organisationen, die Red Hat Enterprise Linux verwenden, sind dem Risiko von unbefugtem Zugriff und Datenlecks ausgesetzt, insbesondere in ihrer Serverinfrastruktur.

Über solche Vorfälle informiert zu sein, ist entscheidend, um die eigene Cybersicherheit zu stärken. Das regelmäßige Verfolgen von Datenleck Nachrichten bildet die Grundlage für eine proaktive Verteidigungsstrategie für Einzelpersonen und Organisationen.

Was sollten Sie tun?

Da die bei Pwn2Own entdeckten Schwachstellen im Rahmen des Prozesses der verantwortungsvollen Offenlegung sofort an die jeweiligen Unternehmen gemeldet wurden, besteht im Moment kein Grund zur Panik. Es gibt jedoch wichtige Schritte, die sowohl Einzelbenutzer als auch Systemadministratoren unternehmen sollten:

  1. Achten Sie auf Updates: Microsoft und Red Hat werden in den kommenden Wochen oder Monaten Sicherheitspatches veröffentlichen, um diese Schwachstellen zu beheben. Halten Sie Ihr Betriebssystem und Ihre Software immer auf dem neuesten Stand. Die Aktivierung automatischer Updates ist der sicherste Weg.
  2. Verwenden Sie eine Firewall und Antivirensoftware: Eine starke Firewall und eine aktuelle Antivirensoftware bieten eine zusätzliche Schutzschicht gegen unbekannte Bedrohungen.
  3. Praktizieren Sie grundlegende Sicherheitshygiene: Klicken Sie nicht auf Links in verdächtigen E-Mails und laden Sie keine Dateien aus unbekannten Quellen herunter. Verwenden Sie starke, einzigartige Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), wo immer möglich.

Stellungnahme der Unternehmen

Aufgrund der Natur des Wettbewerbs haben Unternehmen wie Microsoft und Red Hat noch keine öffentlichen Erklärungen abgegeben, da ihnen die Schwachstellen von der ZDI privat gemeldet wurden. Diese Unternehmen werden mit ihren Entwicklungsteams zusammenarbeiten, um innerhalb des von der ZDI gesetzten Zeitrahmens Patches zu entwickeln. Sobald die Patches fertig sind, werden sie den Benutzern in der Regel über ihre monatlichen Sicherheits-Update-Bulletins (wie die "Patch Tuesday"-Updates von Microsoft) angekündigt und verteilt.

Kaynak

https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Datenleck beim American Lending Center betrifft 123.000 Nächster Beitrag → Esse Health zahlt 2,53 Mio. $ nach Datenpanne

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.