Le courtier d’exploitation Zerodium a annoncé une augmentation de salaire à 400 000 pour les vulnérabilités zero-day qui permettent l’exécution de code à distance (RCE) dans le client de messagerie Microsoft Outlook.
Le nouveau paiement n’est pas permanent, indique la société dans un court tweet, mais la date de fin des soumissions doit encore être divulguée.
Exploits sans clic attendus
La prime régulière de Zerodium pour la vulnérabilité RCE dans Microsoft Outlook pour Windows est de 250 000 $, qui devrait être « accompagnée d’un exploit entièrement fonctionnel et fiable ».
Pour 400 000 $, Zerodium attend un exploit qui permet l’exécution de code à distance sans aucune interaction, le soi-disant « zéro-clic », lorsque le client de messagerie de Microsoft reçoit ou télécharge des messages.
«Nous augmentons temporairement notre paiement pour les RCE Microsoft Outlook de 250 000 $ à 400 000 $. Nous recherchons des exploits sans clic conduisant à l’exécution de code à distance lors de la réception/téléchargement d’e-mails dans Outlook, sans nécessiter aucune interaction de l’utilisateur, telle que la lecture de l’e-mail malveillant ou l’ouverture d’une pièce jointe » – Zérodium
La société n’exclut pas une prime pour les exploits qui nécessitent l’ouverture ou la lecture d’un e-mail, bien que l’expéditeur obtienne un paiement inférieur et non divulgué.
Zerodium rappelle également qu’il offre actuellement jusqu’à 200 000 $ pour les exploits conduisant à l’exécution de code à distance dans Mozilla Thunderbird, le même montant offert depuis 2019.
Les mêmes conditions s’appliquent pour les paiements d’exploit pour Mozilla Thunderbird que dans le cas de Microsoft Outlook. Un RCE dans un client de messagerie accorderait aux attaquants l’accès à tous les comptes disponibles.
Bien que la société n’ait pas spécifié de date de fin pour la soumission d’exploits Microsoft Outlook sans clic, la période peut être assez longue.
Le 31 mars 2021, Zerodium a annoncé qu’il triplait temporairement la prime pour les exploits WordPress RCE et l’offre est toujours valable aujourd’hui.
Le paiement régulier pour un exploit dans le système de gestion de contenu (CMS) open source le plus populaire est de 100 000 $.
Pour le moment, seuls WordPress, Mozilla Thunderbird et Microsoft Outlook sont répertoriés comme actifs sur la page avec des primes temporairement augmentées.
Les offres temporaires récemment expirées concernent le RCE et l’évasion du bac à sable dans Google Chrome (les deux jusqu’à 400 000 $) et le RCE dans le serveur VMware vCenter (jusqu’à 150 000 $).