Pwn2Own 2026: Etički hakeri srušili Windows 11 i Exchange i zaradili milion dolara
U svetu sajber bezbednosti, malo koji događaj izaziva toliko pažnje kao Pwn2Own. Organizovan od strane Zero Day Initiative (ZDI), ovaj događaj u Berlinu je tokom prva dva dana 2026. godine pokazao da čak i najmoderniji sistemi imaju „pukotine“ koje čekaju da budu otkrivene. Bilans nakon 48 sati je zastrašujući: 39 novih zero-day ranjivosti i ukupno 908.750 dolara isplaćenih nagrada.
Orange Tsai i pad Microsoft Exchange-a
Apsolutna zvezda drugog dana bio je legendarni Orange Tsai iz tima DEVCORE. On je izveo jedan od najkompleksnijih napada ikada viđenih na Pwn2Own-u. Lančanim povezivanjem tri različita baga, Tsai je uspeo da dobije SYSTEM privilegije na Microsoft Exchange serveru, što mu je omogućilo Remote Code Execution (RCE).
Ovaj podvig mu je doneo neverovatnih 200.000 dolara. Za nas koji upravljamo Exchange infrastrukturom, ovo je jasan podsetnik da „hardened“ sistemi ne znače neprobojni sistemi.
Windows 11 i Edge: Slabosti u jezgru
Ni desktop operativni sistemi nisu prošli bolje. Windows 11 je bio meta više puta tokom prvog dana. Hakeri su iskoristili:
Ne propustite ovo
- Improper Access Control (Nepravilna kontrola pristupa)
- Heap-based buffer overflow ranjivosti
- Use-After-Free (UAF) bagove u kernelu
Ovi napadi su omogućili hakerima da potpuno preuzmu kontrolu nad ciljanim sistemima. Slično se desilo i sa Microsoft Edge pretraživačem, gde je Tsai uspeo da pobegne iz „sandbox-a“ koristeći četiri logička baga, zaradivši dodatnih 175.000 dolara.
Nova meta: AI desktop alati pod opsadom
Ono što Pwn2Own 2026 čini istorijskim je masovna eksploatacija AI alata. Kako se veštačka inteligencija seli sa clouda direktno na naše računare, bezbednosni rizici rastu. Uspešno su kompromitovani:
- Ollama i LM Studio: Alati koje developeri koriste za lokalno pokretanje LLM modela.
- Claude Desktop i Cursor: AI kod editori koji su postali standard u industriji.
- OpenAI Codex: Koji je pokazao slabosti u obradi upita.
Ovi alati često imaju široke privilegije za čitanje fajlova, što ih čini idealnom metom za krađu intelektualne svojine.
Zašto Safari i SharePoint nisu pali?
Zanimljivo je da su tokom drugog dana pokušaji napada na Apple Safari i Microsoft SharePoint bili neuspešni. Takmičari nisu uspeli da završe eksploataciju u predviđenom vremenu, što pokazuje da su bezbednosni timovi u Cupertinu i Redmondu ipak uradili domaći zadatak u nekim segmentima.
Proces nakon hakovanja
Važno je naglasiti da ovi podaci ostaju stroga tajna. Nakon što haker „provali“ sistem pred sudijama, on predaje sav kod ZDI timu. Prodavci (Microsoft, Apple, Adobe) imaju rok od 90 dana da objave zakrpu pre nego što detalji napada postanu javni. Ovaj „odgovorni model obelodanjivanja“ (responsible disclosure) je razlog zašto tvoj Windows 11 dobija redovna bezbednosna ažuriranja svakog utorka.
Mihailo Ivanjac
Mihailo Ivanjac je osnivač i glavni urednik portala Sajber Sfera, sa višegodišnjim iskustvom u IT industriji, Linux administraciji i WordPress razvoju. Specijalizovan je za Nginx infrastrukturu, Redis object cache, Cloudflare integraciju i optimizaciju WordPress-a na VPS okruženju. Tokom svoje IT karijere radio je kao televizijski spiker/voditelj i senior video editor na RTV Belle amie, što mu omogućava da tehničke teme predstavi jasno i profesionalno. Sve tehničke analize i konfiguracije na Sajber Sfera portalu zasnovane su na realnim produkcionim implementacijama.
Pogledaj sve članke autora →
