Tijdens de tweede dag van de Pwn2Own-hackwedstrijd in Berlijn hebben onderzoekers onbekende kwetsbaarheden gedemonstreerd waarmee VMware ESXi en Microsoft SharePoint zijn te compromitteren. Updates die de problemen verhelpen zijn nog niet beschikbaar. De onderzoekers werden voor het demonstreren van de beveiligingslekken beloond met respectievelijk 150.000 en 100.000 dollar.

Pwn2Own is een jaarlijks terugkerend evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en diensten. Er zijn verschillende edities van het evenement, waarbij verschillende categorieën centraal staan. Tijdens Pwn2On Berlin kunnen onderzoekers uit verschillende categorieën kiezen, zoals browsers, containers, virtualisatiesoftware, zakelijke applicaties, serversoftware, besturingssystemen en een Tesla Model 3/Y.

Uit het gepresenteerde wedstrijdschema blijkt dat de grootste doelwitten waar onderzoekers uit hebben gekozen VMware ESXi en Microsoft SharePoint zijn. Een onderzoeker van securitybedrijf STARLabs SG demonstreerde een integer overflow voor het compromitteren van ESXi. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden.

Volgens securitybedrijf Zero Day Initiative, dat de wedstrijd organiseert, is het de eerste keer dat een dergelijke exploit tijdens Pwn2Own wordt gedemonstreerd. Twee andere onderzoekers, waaronder van Viettel Cyber Security, combineerden twee kwetsbaarheden om een Microsoft SharePoint-server te compromitteren. Details worden nu met VMware en Microsoft gedeeld, zodat die updates kunnen ontwikkelen.

Morgen is de laatste dag van Pwn2Own Berlin. Daarbij zullen onderzoekers onder andere kwetsbaarheden tegen Mozilla Firefox, Oracle VirtualBox, VMware Workstation en opnieuw VMware ESXi demonstreren.