По информации Bleeping Computer, брокер эксплойтов Zerodium объявил о временном повышении вознаграждения для хакеров до $400 тыс. за полнофункциональный рабочий zero-click эксплойт, использующий уязвимость нулевого дня и позволяющий организовать удаленное выполнение кода (RCE) в почтовом клиенте Microsoft Outlook. Ранее платформа покупала такие эксплойты за $250 тыс.
Повышение выплаты является временной мерой, но дату окончания подачи заявок от хакеров по этой акции Zerodium не разгласила.
Обязательное условие для получения максимальной выплаты — эксплойт должен позволять выполнять удаленную атаку на устройство пользователя типа zero-click , то есть при получении/загрузке жертвой электронной почты в Outlook и без необходимости какого-либо дополнительного взаимодействия с пользователем, такого как чтение вредоносного сообщения электронной почты или открытие вложения.
Zerodium пояснила, что не исключает вознаграждения за другие эксплойты типа one-click, которые требуют открытия или чтения электронной почты. В этом случае хакер получит меньшую выплату, которую платформа не разгласила.
Zerodium напоминала, что на платформе с 2019 года предлагается выплата в размере $200 тыс. за zero-click RCE-эксплойт для Mozilla Thunderbird.
Также Zerodium временно утроила награду за RCE-эксплойт для WordPress RCE — до $300 тыс.
31 декабря 2021 года на платформе Zerodium окончился прием заявок с эксплойтами, позволяющими выполнить побег из песочницы в Google Chrome (выплата за это была до $400 тыс.) и RCE-эксплойт для VMware vCenter (до $150 тыс.).
Повышение выплат брокером эксплойтов за уязвимости нулевого дня в продуктах Microsoft произошло на фоне обратного процесса со стороны разработчика. Microsoft с апреля 2020 года уменьшает награды исследователям по своей программе bug bounty . Microsoft теперь платит за побег из песочницы до $5 тыс., а за 0-day уязвимости снизила выплаты $10 тыс. до $1 тыс.
22 ноября 2021 года в знак протеста против сокращения выплат bug bounty от Microsoft исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.
В июле 2021 года Microsoft рассказала , что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. За период с 1 июля 2019 года по 30 июня 2020 года Microsoft выплатила $13,7 млн по своим программам bug bounty всего 327 исследователям.)
Повышение выплаты является временной мерой, но дату окончания подачи заявок от хакеров по этой акции Zerodium не разгласила.
Обязательное условие для получения максимальной выплаты — эксплойт должен позволять выполнять удаленную атаку на устройство пользователя типа zero-click , то есть при получении/загрузке жертвой электронной почты в Outlook и без необходимости какого-либо дополнительного взаимодействия с пользователем, такого как чтение вредоносного сообщения электронной почты или открытие вложения.
Zerodium пояснила, что не исключает вознаграждения за другие эксплойты типа one-click, которые требуют открытия или чтения электронной почты. В этом случае хакер получит меньшую выплату, которую платформа не разгласила.
Zerodium напоминала, что на платформе с 2019 года предлагается выплата в размере $200 тыс. за zero-click RCE-эксплойт для Mozilla Thunderbird.
Также Zerodium временно утроила награду за RCE-эксплойт для WordPress RCE — до $300 тыс.
31 декабря 2021 года на платформе Zerodium окончился прием заявок с эксплойтами, позволяющими выполнить побег из песочницы в Google Chrome (выплата за это была до $400 тыс.) и RCE-эксплойт для VMware vCenter (до $150 тыс.).
Повышение выплат брокером эксплойтов за уязвимости нулевого дня в продуктах Microsoft произошло на фоне обратного процесса со стороны разработчика. Microsoft с апреля 2020 года уменьшает награды исследователям по своей программе bug bounty . Microsoft теперь платит за побег из песочницы до $5 тыс., а за 0-day уязвимости снизила выплаты $10 тыс. до $1 тыс.
22 ноября 2021 года в знак протеста против сокращения выплат bug bounty от Microsoft исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.
В июле 2021 года Microsoft рассказала , что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. За период с 1 июля 2019 года по 30 июня 2020 года Microsoft выплатила $13,7 млн по своим программам bug bounty всего 327 исследователям.)