По информации Bleeping Computer, брокер эксплойтов Zerodium объявил о временном повышении вознаграждения для хакеров до $400 тыс. за полнофункциональный рабочий zero-click эксплойт, использующий уязвимость нулевого дня и позволяющий организовать удаленное выполнение кода (RCE) в почтовом клиенте Microsoft Outlook. Ранее платформа покупала такие эксплойты за $250 тыс.
Повышение выплаты является временной мерой, но дату окончания подачи заявок от хакеров по этой акции Zerodium не разгласила.
Обязательное условие для получения максимальной выплаты — эксплойт должен позволять выполнять удаленную атаку на устройство пользователя типа zero-click, то есть при получении/загрузке жертвой электронной почты в Outlook и без необходимости какого-либо дополнительного взаимодействия с пользователем, такого как чтение вредоносного сообщения электронной почты или открытие вложения.
Zerodium пояснила, что не исключает вознаграждения за другие эксплойты типа one-click, которые требуют открытия или чтения электронной почты. В этом случае хакер получит меньшую выплату, которую платформа не разгласила.
Zerodium напоминала, что на платформе с 2019 года предлагается выплата в размере $200 тыс. за zero-click RCE-эксплойт для Mozilla Thunderbird.
Также Zerodium временно утроила награду за RCE-эксплойт для WordPress RCE — до $300 тыс.
31 декабря 2021 года на платформе Zerodium окончился прием заявок с эксплойтами, позволяющими выполнить побег из песочницы в Google Chrome (выплата за это была до $400 тыс.) и RCE-эксплойт для VMware vCenter (до $150 тыс.).
Повышение выплат брокером эксплойтов за уязвимости нулевого дня в продуктах Microsoft произошло на фоне обратного процесса со стороны разработчика. Microsoft с апреля 2020 года уменьшает награды исследователям по своей программе bug bounty. Microsoft теперь платит за побег из песочницы до $5 тыс., а за 0-day уязвимости снизила выплаты $10 тыс. до $1 тыс.
22 ноября 2021 года в знак протеста против сокращения выплат bug bounty от Microsoft исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.
В июле 2021 года Microsoft рассказала, что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. За период с 1 июля 2019 года по 30 июня 2020 года Microsoft выплатила $13,7 млн по своим программам bug bounty всего 327 исследователям.
©
https://habr.com/ru/news/t/648471/
03-07-2025, 11:05 PM
Hybrid Mode
