- Η Microsoft θα πληρώσει έως και 400.000 $ για σφάλματα στο Outlook, αν και η εταιρεία δεν έχει αποκαλύψει πόσο καιρό θα είναι διαθέσιμο αυτό το πρόγραμμα bounty.
- Η Zerodium, μια πλατφόρμα απόκτησης exploit, αύξησε το μπόνους της για την απομακρυσμένη εκτέλεση κώδικα με μηδέν κλικ στο Microsoft Outlook από 250.000 $ σε 400.000 $.
- Οι πελάτες του Zerodium είναι κυρίως κρατικοί φορείς στη Βόρεια Αμερική και την Ευρώπη.
Η πλατφόρμα απόκτησης Exploit Zerodium αύξησε την πληρωμή της για RCE μηδενικού κλικ στο Microsoft Outlook από 250.000 $ σε 400.000 $.
Οι εκμεταλλεύσεις με μηδενικό κλικ επιτρέπουν στους εισβολείς να παραβιάζουν υπολογιστές και δίκτυα χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη. Μια εταιρεία που αγοράζει τέτοιου είδους εκμεταλλεύσεις, η Zerodium, περιγράφει την αλλαγή στη σελίδα της για bounties bug περιορισμένου χρόνου.
Ξεκίνησε την εκμετάλλευση
Ορισμένες επιθέσεις στον κυβερνοχώρο, όπως μηνύματα ηλεκτρονικού "ψαρέματος" ή άμεσα μηνύματα, απαιτούν από τους ανθρώπους να αλληλεπιδράσουν με μια επίθεση προκειμένου να ενεργοποιήσουν την εκμετάλλευση. Οι εκμεταλλεύσεις με μηδενικό κλικ δεν απαιτούν αλληλεπίδραση, καθιστώντας τις ακόμη πιο επικίνδυνες.
"Αυξάνουμε προσωρινά την πληρωμή μας για τα RCE του Microsoft Outlook από 250.000 $ σε 400.000 $", ανέφερε το Zerodium. «Αναζητούμε εκμεταλλεύσεις μηδενικού κλικ που οδηγούν σε απομακρυσμένη εκτέλεση κώδικα κατά τη λήψη/λήψη μηνυμάτων ηλεκτρονικού ταχυδρομείου σε Outlook, χωρίς να απαιτείται οποιαδήποτε αλληλεπίδραση με τον χρήστη, όπως η ανάγνωση του κακόβουλου μηνύματος email ή το άνοιγμα ενός συνημμένο. Οι εκμεταλλεύσεις που βασίζονται στο άνοιγμα/ανάγνωση ενός email ενδέχεται να αποκτηθούν για χαμηλότερη ανταμοιβή."
Η Zerodium είναι μια εταιρεία ασφαλείας που ειδικεύεται στην απόκτηση και μεταπώληση zero-day exploits και τρωτών σημείων. Οι κύριοι πελάτες της είναι κρατικοί φορείς στη Βόρεια Αμερική και την Ευρώπη.
Αυξημένη πληρωμή
Η Microsoft αύξησε την πληρωμή για τα RCE μηδενικού κλικ του Outlook στις 27 Ιανουαρίου 2022. Θα συνεχιστούν μέχρι μια ημερομηνία που δεν έχει αποκαλυφθεί.
Η Microsoft προσφέρει επιβραβεύσεις από 5.000 $ έως 250.000 $ για αναφορές τρωτών σημείων στο λογισμικό της. Η εταιρεία πλήρωσε 13,6 εκατομμύρια δολάρια για επιβραβεύσεις bounty bug μεταξύ Ιουλίου 2020 και Ιουλίου 2021.
σφάλμα της Microsoft Η πληρωμή bounty είναι μικρότερη από αυτή του Zerodium. οι τιμές του bounty ποικίλλουν ανάλογα με τη σοβαρότητα της ευπάθειας που ανακαλύφθηκε.
Ποια είναι η άποψή σας για τον τρόπο με τον οποίο η Microsoft αντιμετωπίζει τα σφάλματα; Μοιραστείτε τις σκέψεις σας μαζί μας στην παρακάτω ενότητα σχολίων.
