Microsoft vil øke utbetalingen for visse feil med $400 000 i en begrenset periode

Utnytt oppkjøpsplattformen Zerodium har økt utbetalingen for null-klikk RCE-er i Microsoft Outlook fra $250.000 til $400.000.

Null-klikk-utnyttelser lar angripere kompromittere PC-er og nettverk uten å kreve brukerinteraksjon. Et selskap som kjøper slike utnyttelser, Zerodium, skisserer endringen på sin tidsbegrensede bug-bounties-side.

Sett i gang utnyttelsen

Noen nettangrep, for eksempel phishing-e-post eller direktemeldinger, krever at folk samhandler med et angrep for å sette i gang utnyttelsen. Null-klikk-utnyttelser krever ikke interaksjon, noe som gjør dem enda farligere.

"Vi øker midlertidig utbetalingen vår for Microsoft Outlook RCE-er fra $250.000 til $400.000," indikerte Zerodium. "Vi ser etter null-klikk-utnyttelser som fører til ekstern kjøring av kode når vi mottar/laster ned e-poster i Outlook, uten å kreve noen brukerinteraksjon som å lese den ondsinnede e-postmeldingen eller åpne en vedlegg. Utnyttelser som er avhengige av å åpne/lese en e-post, kan oppnås for en lavere belønning."

instagram story viewer

Zerodium er et sikkerhetsselskap som spesialiserer seg på å anskaffe og videreselge nulldagers utnyttelser og sårbarheter. Dens primære kunder er offentlige etater i Nord-Amerika og Europa.

Økt utbetaling

Microsoft økte utbetalingen for Outlook null-klikk RCEer 27. januar 2022. De vil fortsette til en dato som ikke er avslørt.

Microsoft tilbyr dusører fra $5 000 til $250 000 for rapporter om sårbarheter i programvaren. Selskapet betalte 13,6 millioner dollar for bug-bounty-belønninger mellom juli 2020 og juli 2021.

Microsofts feil dusørutbetalingen er mindre enn Zerodium; dusørverdiene varierer basert på alvorlighetsgraden av den oppdagede sårbarheten.

Hva er ditt syn på Microsofts vei rundt feilene? Del dine tanker med oss ​​i kommentarfeltet nedenfor.