Как стать автором
Обновить

Платформа Zerodium объявила о повышении вознаграждения до $400 тыс. за рабочий RCE-эксплойт для Microsoft Outlook

Время на прочтение 2 мин
Количество просмотров 8.6K


По информации Bleeping Computer, брокер эксплойтов Zerodium объявил о временном повышении вознаграждения для хакеров до $400 тыс. за полнофункциональный рабочий zero-click эксплойт, использующий уязвимость нулевого дня и позволяющий организовать удаленное выполнение кода (RCE) в почтовом клиенте Microsoft Outlook. Ранее платформа покупала такие эксплойты за $250 тыс.

Повышение выплаты является временной мерой, но дату окончания подачи заявок от хакеров по этой акции Zerodium не разгласила.

Обязательное условие для получения максимальной выплаты — эксплойт должен позволять выполнять удаленную атаку на устройство пользователя типа zero-click, то есть при получении/загрузке жертвой электронной почты в Outlook и без необходимости какого-либо дополнительного взаимодействия с пользователем, такого как чтение вредоносного сообщения электронной почты или открытие вложения.

Zerodium пояснила, что не исключает вознаграждения за другие эксплойты типа one-click, которые требуют открытия или чтения электронной почты. В этом случае хакер получит меньшую выплату, которую платформа не разгласила.

Zerodium напоминала, что на платформе с 2019 года предлагается выплата в размере $200 тыс. за zero-click RCE-эксплойт для Mozilla Thunderbird.

Также Zerodium временно утроила награду за RCE-эксплойт для WordPress RCE — до $300 тыс.

31 декабря 2021 года на платформе Zerodium окончился прием заявок с эксплойтами, позволяющими выполнить побег из песочницы в Google Chrome (выплата за это была до $400 тыс.) и RCE-эксплойт для VMware vCenter (до $150 тыс.).

Повышение выплат брокером эксплойтов за уязвимости нулевого дня в продуктах Microsoft произошло на фоне обратного процесса со стороны разработчика. Microsoft с апреля 2020 года уменьшает награды исследователям по своей программе bug bounty. Microsoft теперь платит за побег из песочницы до $5 тыс., а за 0-day уязвимости снизила выплаты $10 тыс. до $1 тыс.

22 ноября 2021 года в знак протеста против сокращения выплат bug bounty от Microsoft исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.

В июле 2021 года Microsoft рассказала, что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. За период с 1 июля 2019 года по 30 июня 2020 года Microsoft выплатила $13,7 млн по своим программам bug bounty всего 327 исследователям.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
+6
Комментарии 0
Комментарии Комментировать

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн