Платформа Zerodium объявила о повышении вознаграждения до $400 тыс. за рабочий RCE-эксплойт для Microsoft Outlook

По информации Bleeping Computer, брокер эксплойтов Zerodium объявил о временном повышении вознаграждения для хакеров до $400 тыс. за полнофункциональный рабочий zero-click эксплойт, использующий уязвимость нулевого дня и позволяющий организовать удаленное выполнение кода (RCE) в почтовом клиенте Microsoft Outlook. Ранее платформа покупала такие эксплойты за $250 тыс.
Повышение выплаты является временной мерой, но дату окончания подачи заявок от хакеров по этой акции Zerodium не разгласила.

Обязательное условие для получения максимальной выплаты — эксплойт должен позволять выполнять удаленную атаку на устройство пользователя типа zero-click, то есть при получении/загрузке жертвой электронной почты в Outlook и без необходимости какого-либо дополнительного взаимодействия с пользователем, такого как чтение вредоносного сообщения электронной почты или открытие вложения.

Zerodium пояснила, что не исключает вознаграждения за другие эксплойты типа one-click, которые требуют открытия или чтения электронной почты. В этом случае хакер получит меньшую выплату, которую платформа не разгласила.

Zerodium напоминала, что на платформе с 2019 года предлагается выплата в размере $200 тыс. за zero-click RCE-эксплойт для Mozilla Thunderbird.

Также Zerodium временно утроила награду за RCE-эксплойт для WordPress RCE — до $300 тыс.

31 декабря 2021 года на платформе Zerodium окончился прием заявок с эксплойтами, позволяющими выполнить побег из песочницы в Google Chrome (выплата за это была до $400 тыс.) и RCE-эксплойт для VMware vCenter (до $150 тыс.).

Повышение выплат брокером эксплойтов за уязвимости нулевого дня в продуктах Microsoft произошло на фоне обратного процесса со стороны разработчика. Microsoft с апреля 2020 года уменьшает награды исследователям по своей программе bug bounty. Microsoft теперь платит за побег из песочницы до $5 тыс., а за 0-day уязвимости снизила выплаты $10 тыс. до $1 тыс.

22 ноября 2021 года в знак протеста против сокращения выплат bug bounty от Microsoft исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.

В июле 2021 года Microsoft рассказала, что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. За период с 1 июля 2019 года по 30 июня 2020 года Microsoft выплатила $13,7 млн по своим программам bug bounty всего 327 исследователям.

Читайте так же:

  • Squid game, стеклянный мост и игрок номер 9Squid game, стеклянный мост и игрок номер 9 В сериале "Squid game" герои попадают в загадочную игру, где они проходят череду испытаний. В случае, если игрок проваливает испытание, он погибает, а призовой фонд игры поплняется на 100.000.000 вон. Spoiler alert! Текст ниже содержит умеренные спойлеры к 7 и 2 сериям сериала. […]
  • Huawei снова это сделала. Huawei P50 Pro признан лучшим в мире камерофоном, причем сразу в двух категорияхHuawei снова это сделала. Huawei P50 Pro признан лучшим в мире камерофоном, причем сразу в двух категориях Сегодня Huawei официально представила свои флагманские смартфоны P50 и P50 Pro, и сегодня же специалисты DxOMark опубликовали тесты камер топовой модели. Причем сразу и основной, и фронтальной – в обоих случаях P50 Pro обошел все нынешние флагманские смартфоны. Huawei P50 Pro […]
  • Lightbox и его клоны Lightbox2Если вы используете prototype и scriptaculous, то это лучший вариант. Сам скрипт без фреймворков весит всего 18Кб, а если очистить от комментариев и ужать, то будет в разы меньше.Дизайн и физика движений довольно приятные, в целом скрипт довольно хорош, классика.LeightboxТак же […]
  • Зачем айтишнику писать статьи?Зачем айтишнику писать статьи? Каждый день (да что там, каждый час) кто-то пишет на Хабр, а кто-то его читает. Авторы приходят на Хабр по-разному: чаще через песочницу или корпоративное приглашение, реже через инвайт друга, ещё реже — через общение с кураторами или модераторами. Они пишут обо всём: от сложнейших […]