„Microsoft“ padidins išmoką už tam tikras klaidas 400 000 USD ribotą laiką

„Exploit“ įsigijimo platforma „Zerodium“ padidino išmoką už nulinio paspaudimo RCE „Microsoft Outlook“ nuo 250 000 USD iki 400 000 USD.

Nulinio paspaudimo išnaudojimai leidžia užpuolikams pažeisti asmeninius kompiuterius ir tinklus nereikalaujant vartotojo sąveikos. Viena bendrovė, kuri perka tokius išnaudojimus, „Zerodium“, aprašo pakeitimą savo riboto laiko užmokesčio už klaidas puslapyje.

Pradėkite išnaudojimą

Kai kurios kibernetinės atakos, pvz., sukčiavimo el. laiškai ar momentinės žinutės, reikalauja, kad žmonės sąveikautų su ataka, kad būtų galima pradėti išnaudojimą. Nulinio paspaudimo išnaudojimui nereikia sąveikos, todėl jie yra dar pavojingesni.

„Laikinai padidiname išmokėjimą už Microsoft Outlook RCE nuo 250 000 USD iki 400 000 USD“, – nurodė „Zerodium“. „Ieškome nulio paspaudimo išnaudojimų, leidžiančių nuotoliniu būdu vykdyti kodą, kai gauname/atsisiunčiame el. „Outlook“, nereikalaujant jokios vartotojo sąveikos, pvz., perskaityti kenkėjišką el. laišką arba atidaryti el priedas. Išnaudojimus, kuriais grindžiamas el. laiško atidarymas / skaitymas, galima įsigyti už mažesnę atlygį.

„Zerodium“ yra saugos įmonė, kurios specializacija yra nulinės dienos išnaudojimų ir pažeidžiamumų įsigijimas ir perpardavimas. Pagrindiniai jos klientai yra vyriausybinės agentūros Šiaurės Amerikoje ir Europoje.

Padidintas išmokėjimas

2022 m. sausio 27 d. „Microsoft“ padidino išmoką už „Outlook“ nulinio paspaudimo RCE. Jie tęsis iki neatskleistos datos.

„Microsoft“ siūlo nuo 5 000 iki 250 000 USD premijas už pranešimus apie savo programinės įrangos pažeidžiamumą. Nuo 2020 m. liepos mėn. iki 2021 m. liepos mėn. bendrovė sumokėjo 13,6 mln.

„Microsoft“ klaida premija yra mažesnė nei Zerodium; premijos vertės skiriasi priklausomai nuo aptikto pažeidžiamumo sunkumo.

Kaip vertinate „Microsoft“ būdą, kaip pašalinti klaidas? Pasidalykite savo mintimis su mumis toliau pateiktame komentarų skyriuje.