На сцене OffensiveCon в Берлине исследователи за три дня вскрыли набор из полностью обновлённых корпоративных продуктов. К финалу Pwn2Own Berlin 2026 они унесли $1,298,250 за 47 уязвимостей нулевого дня, а в списке целей оказались Windows 11, Microsoft Edge, Exchange, виртуализация, контейнеры и AI-сервисы.

Победила команда DEVCORE. Её участники набрали 50,5 балла Master of Pwn и получили $505,000, включая крупнейшую выплату конкурса — $200,000 за цепочку из трёх ошибок в Microsoft Exchange, которая дала удалённое выполнение кода с правами SYSTEM.

История инцидента

Сам конкурс — это не инцидент в классическом смысле, а публичная демонстрация того, как быстро ломаются популярные системы даже после установки всех обновлений. Исследователи показали атаки на браузеры, серверы, локальное повышение привилегий, облачные и контейнерные среды, а также на инструменты для работы с большими языковыми моделями.

В первый день участники заработали $523,000 за 24 уникальных нулевых дня. На второй день — ещё $385,750 за 15 уязвимостей. В финале сумма выросла на $389,500, а список сломанных продуктов пополнили VMware ESXi, Windows 11 и Red Hat Enterprise Linux for Workstations.

Отдельно стоит отметить, что часть атак шла через цепочки из нескольких багов. Это важный сигнал для компаний, которые полагаются только на патч-менеджмент и считают, что «обновлено» значит «безопасно».

Что пошло не так в защите

Главная проблема в таких историях — не один конкретный продукт, а разрыв между обновлением и реальной стойкостью защиты. Патч закрывает известную дыру, но не отменяет возможность собрать новую цепочку из логических ошибок, обхода песочницы, локального повышения привилегий и ошибок в изоляции.

Конкурс снова показал, что атакующие не обязаны бить в самый очевидный фронт. Они ищут слабое звено в цепи: браузер, контейнерный рантайм, виртуализацию или интеграцию с AI-инструментом. Именно поэтому разбор уязвимости в Azure Backup и похожие кейсы полезны не только админам, но и руководителям ИТ-направлений: проблема часто живёт в связке сервисов, а не в одном продукте.

На фоне таких соревнований особенно заметно, как быстро меняется поле атак. Если раньше компании следили прежде всего за почтой и браузерами, то теперь к ним добавились корпоративные AI-платформы и контейнерные среды. Это уже не экзотика, а рабочая поверхность, которую проверяют наравне с привычными офисными системами.

Уроки для читателя

Для обычного пользователя новость звучит как история про далёкие корпоративные лабиринты. Но выводы вполне бытовые. Любой сервис с важными данными зависит от обновлений, изоляции приложений, контроля прав и того, как быстро компания замечает подозрительную активность.

Если вы работаете из дома или подключаетесь к корпоративным сервисам из чужой сети, важна не только защита самого канала связи, но и базовая гигиена: актуальная операционная система, отдельные пароли для разных сервисов, двухфакторная аутентификация и внимательность к письмам от «службы поддержки». В связке с менеджером паролей такой набор уже сильно снижает риск простых атак и кражи учётных данных.

Для компаний из этой новости самый важный урок простой: тестировать нужно не только входной периметр, но и то, что происходит после первого шага атакующего. Именно об этом напоминает материал «Pwn2Own Berlin показал, где ломаются Windows 11 и Edge»: уязвимости часто сидят в связках между браузером, системой и внутренними сервисами.

Практические выводы и чек-лист

Если свести всё к короткому списку, картина такая.

Проверьте, включены ли автоматические обновления на рабочих и личных устройствах.
Убедитесь, что для почты, облака и рабочих кабинетов включена двухфакторная аутентификация.
Разделите учётные записи для работы и личных задач, не используйте один и тот же пароль в разных сервисах.
Ограничьте права локальных пользователей и не давайте администраторский доступ там, где он не нужен.
Следите за предупреждениями поставщиков ПО и закрывайте критические обновления без задержек.
Если вы часто подключаетесь к рабочим сервисам из гостиницы, кафе или аэропорта, используйте [дополнительный слой шифрования трафика] (https://freedome.space) на личных устройствах как часть общей цифровой гигиены.
Не открывайте вложения и ссылки из писем, которые маскируются под срочные уведомления от ИТ-отдела или банка.
Для компании важно не только ставить патчи, но и регулярно проверять логи, сегментацию сети и сценарии реагирования на инциденты.

Pwn2Own снова показал простую вещь: даже дорогие и хорошо защищённые продукты ломаются, если уязвимость складывается из нескольких мелких ошибок. Для пользователя это повод не расслабляться, а для ИТ-служб — напоминание, что безопасность держится не на одном обновлении, а на дисциплине.