- Microsoft zapłaci maksymalnie 400 000 USD za błędy w programie Outlook, chociaż firma nie ujawniła, jak długo ten program bounty będzie dostępny.
- Zerodium, platforma do pozyskiwania exploitów, zwiększyła swoją nagrodę za zdalne wykonanie kodu bez kliknięcia w programie Microsoft Outlook z 250 000 do 400 000 USD.
- Klientami Zerodium są przede wszystkim agencje rządowe w Ameryce Północnej i Europie.
Platforma do pozyskiwania exploitów, Zerodium, zwiększyła swoją wypłatę za zerowe kliknięcia RCE w programie Microsoft Outlook z 250 000 do 400 000 USD.
Exploity typu zero-click pozwalają atakującym na złamanie zabezpieczeń komputerów i sieci bez konieczności interakcji użytkownika. Jedna firma, która kupuje takie exploity, Zerodium, opisuje zmianę na swojej ograniczonej czasowo stronie z nagrodami za błędy.
Wyrusz w wyczyn
Niektóre cyberataki, takie jak wiadomości phishingowe lub wiadomości błyskawiczne, wymagają od ludzi interakcji z atakiem w celu uruchomienia exploita. Exploity typu zero-click nie wymagają interakcji, co czyni je jeszcze bardziej niebezpiecznymi.
„Tymczasowo zwiększamy naszą wypłatę za Microsoft Outlook RCE z 250 000 do 400 000 USD” — wskazał Zerodium. „Szukamy exploitów typu zero-click prowadzących do zdalnego wykonania kodu podczas odbierania/pobierania wiadomości e-mail w Outlook, bez konieczności interakcji użytkownika, takich jak czytanie złośliwej wiadomości e-mail lub otwieranie Załącznik. Exploity polegające na otwarciu/czytaniu wiadomości e-mail można zdobyć za niższą nagrodę.”
Zerodium to firma zajmująca się bezpieczeństwem specjalizująca się w pozyskiwaniu i odsprzedaży exploitów i luk typu zero-day. Jej głównymi klientami są agencje rządowe w Ameryce Północnej i Europie.
Zwiększona wypłata
Firma Microsoft zwiększyła wypłatę za pakiety RCE z zerowym kliknięciem w programie Outlook 27 stycznia 2022 r. Będą trwać do nieujawnionej daty.
Microsoft oferuje nagrody od 5000 do 250 000 USD za zgłoszenia luk w zabezpieczeniach swojego oprogramowania. Firma zapłaciła 13,6 miliona dolarów za nagrody bug bounty między lipcem 2020 a lipcem 2021.
Błąd Microsoftu wypłata nagrody jest mniejsza niż w przypadku Zerodium; wartości nagród różnią się w zależności od dotkliwości wykrytej luki.
Jak oceniasz sposób, w jaki Microsoft obchodzi się z błędami? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.