Microsoft zvýši výplatu za určité chyby o 400 000 dolárov na obmedzený čas

Akvizičná platforma Exploit Zerodium zvýšila svoju výplatu za RCE s nulovým kliknutím v Microsoft Outlook z 250 000 USD na 400 000 USD.

Zneužitie nulového kliknutia umožňuje útočníkom kompromitovať počítače a siete bez toho, aby vyžadovali interakciu používateľa. Jedna spoločnosť, ktorá kupuje takéto exploity, Zerodium, načrtáva zmenu na svojej časovo obmedzenej stránke odmeňovania za chyby.

Spustite exploit

Niektoré kybernetické útoky, ako sú phishingové e-maily alebo okamžité správy, vyžadujú, aby ľudia interagovali s útokom, aby mohli spustiť zneužitie. Zneužitie nulového kliknutia nevyžadujú interakciu, čo ich robí ešte nebezpečnejšími.

„Dočasne zvyšujeme našu výplatu za Microsoft Outlook RCE z 250 000 USD na 400 000 USD,“ uviedol Zerodium. „Hľadáme exploity s nulovým kliknutím vedúce k vzdialenému spusteniu kódu pri prijímaní/sťahovaní e-mailov Outlook bez nutnosti akejkoľvek interakcie používateľa, ako je čítanie škodlivej e-mailovej správy alebo otvorenie príloha. Zneužívanie, ktoré sa spolieha na otvorenie/prečítanie e-mailu, možno získať za nižšiu odmenu.“

Zerodium je bezpečnostná spoločnosť špecializujúca sa na získavanie a opätovný predaj zero-day exploitov a zraniteľností. Jej primárnymi zákazníkmi sú vládne agentúry v Severnej Amerike a Európe.

Zvýšená výplata

Microsoft 27. januára 2022 zvýšil výplatu za RCE s nulovým kliknutím v Outlooku. Budú pokračovať až do dátumu, ktorý nie je zverejnený.

Microsoft ponúka odmeny od 5 000 do 250 000 USD za správy o zraniteľnostiach svojho softvéru. Spoločnosť zaplatila od júla 2020 do júla 2021 13,6 milióna dolárov za odmeny za chyby.

Chyba Microsoftu výplata odmeny je nižšia ako odmena Zerodium; hodnoty odmien sa líšia v závislosti od závažnosti zistenej zraniteľnosti.

Aký je váš názor na spôsob, akým Microsoft obchádza chyby? Podeľte sa s nami o svoje myšlienky v sekcii komentárov nižšie.