El conocido corredor de exploits y vulnerabilidades Zerodium anunció que está dispuesto a pagar hasta $400,000 para vulnerabilidades y exploits de día cero que permitirán la ejecución remota de código en el cliente de correo electrónico Microsoft Outlook.
Previamente, el pago máximo fue $250,000. Para errores similares en Mozilla Thunderbird, la empresa está dispuesta a pagar hasta $200,000.
Déjame recordarte que la empresa Zerodium, fundado en 2015, ha estado comprando exploits para varias vulnerabilidades de día cero durante mucho tiempo, para luego revenderlos a gobiernos y agencias policiales de todo el mundo. Para hacer esto, la empresa tiene su propio programa de recompensas por errores, en el que los investigadores pueden vender exploits por hasta $2.5 millón (dependiendo del tipo y naturaleza del error).
Además, De vez en cuando, la empresa realiza campañas de “corrección de errores”., durante el cual compra exploits para un software en particular a precios especiales. Previamente, promociones similares se realizaron para Lengua macarrónica, WordPress, hipervisores, popular Productos VPN, etcétera.
También se han aumentado temporalmente las recompensas por errores en Mozilla Thunderbird y Microsoft Outlook, dijo la compañía en Twitter.
Zerodium no especifica a qué plataforma deberían apuntar los exploits, pero ambos clientes de correo electrónico tienen versiones para los tres sistemas operativos principales: Windows, Mac OS, y linux.
Muchos expertos en seguridad de la información señalaron que un hackeo exitoso en cualquiera de los dos clientes de correo electrónico le daría al atacante acceso no solo a la computadora del usuario., sino también a todos los buzones de correo administrados a través del cliente comprometido. Dado que las contraseñas de las cuentas se pueden extraer del cliente, Esto también significa que la parte que utilice el exploit podrá acceder posteriormente a las cuentas de la nube..
Quizás también te interese leer eso. Los investigadores notaron que la red oscura está discutiendo exploits como servicio, y que un Se publicó un exploit PoC para una nueva vulnerabilidad en Ghostscript.