Få 2,6 millioner kroner for en Microsoft Outlook RCE nuldags-sårbarhed

Den efterhånden kendte sikkerhedshul mægler Zerodium har annonceret at vi få 400.000 dollars for en nuldags sårbarhed, der tillader fjernkørsel af kode (RCE) i Microsoft Outlook e-mail-klienten.

Den nye udbetaling er ikke permanent, siger selskabet i et kort tweet, men slutdatoen for indsendelser er endnu ikke offentliggjort.

I dag er det normalt med belønningssystemer og de fleste producenter har da også sine egne findeløns systemer. som f.eks. Microsoft.

Nul klik udnyttelse forventes som RCE (Remote Code Execution)

Zerodium normale dusør for RCE sårbarheder i Microsoft Outlook til Windows er ellers $250,000, og kvaliteten forventes at være “ledsaget af en fuldt funktionel og pålidelig udnyttelse som bevis”

Nu da prisen er højere forventer Zerodium en udnyttelse, der opnår fjernkørsel af kode uden interaktion, den såkaldte ‘nul-klik’, altså når Microsofts e-mail-klient modtager eller downloader beskeder.

De samme betingelser gælder for udnyttelse udbetalinger for Mozilla Thunderbird som i tilfælde af Microsoft Outlook. En RCE i en e-mail-klient ville give angribere adgang til alle tilgængelige konti.

Mens virksomheden ikke angive en slutdato for indsendelse nul-klik Microsoft Outlook udnytter, kan perioden være ganske lang.

Sidste år i marts 2021, oplyste Zerodium, at det var midlertidigt tredobling af dusør for WordPress RCE udnytter og tilbuddet stadig står i dag.

Den normale udbetaling for en udnyttelse i WordPress er $100.000.

I øjeblikket er det kun WordPress, Mozilla Thunderbird og Microsoft Outlook, der er opført som aktive på siden med midlertidigt øgede dusører.

Nogle for nyligt udløbne midlertidige tilbud er for RCE og sandkasse sikkerhedshullet i Google Chrome som altså ville give $400.000), og RCE i VMware vCenter server der ville give indtil $150.000.

Kilde: ICARE/Zerodium
Fotokredit: Microsoft Inc.

da Danish
X
Scroll til toppen