Diario Informe

Los exploits de día cero de Microsoft Outlook RCE ahora se venden por $ 400,000

El corredor de exploits Zerodium anunció un aumento salarial a 400,000 por vulnerabilidades de día cero que permiten la ejecución remota de código (RCE) en el cliente de correo electrónico Microsoft Outlook.

El nuevo pago no es permanente, dice la compañía en un breve tuit, pero aún no se ha revelado la fecha de finalización de los envíos.

Exploits de cero clic esperados

La recompensa habitual de Zerodium por la vulnerabilidad RCE en Microsoft Outlook para Windows es de 250.000 dólares, que debería ir "acompañada de un exploit totalmente funcional y fiable".

Por $ 400,000, Zerodium está esperando un exploit que logre la ejecución remota de código sin ninguna interacción, el llamado "cero clic", cuando el cliente de correo electrónico de Microsoft recibe o descarga mensajes.

“Estamos aumentando temporalmente nuestra compensación de Microsoft Outlook RCE de $ 250,000 a $ 400,000. Estamos buscando exploits de cero clic que conduzcan a la ejecución remota de código al recibir/descargar correos electrónicos en Outlook, sin requerir ninguna interacción del usuario, como leer el mensaje de correo electrónico malicioso o abrir un archivo adjunto ”- Zerodium

La compañía no descarta una recompensa por las vulnerabilidades que requieren que se abra o lea un correo electrónico, aunque el remitente recibirá un pago menor no revelado.

Zerodium también señala que actualmente ofrece hasta $ 200,000 por exploits que conducen a la ejecución remota de código en Mozilla Thunderbird, la misma cantidad que ofrece desde 2019.

Se aplican las mismas condiciones para los pagos por explotación de Mozilla Thunderbird que para Microsoft Outlook. Un RCE en un cliente de correo electrónico otorgaría a los atacantes acceso a todas las cuentas disponibles.

Aunque la empresa no ha especificado una fecha de finalización para el envío de exploits de Microsoft Outlook sin clics, el período podría ser bastante largo.

El 31 de marzo de 2021, Zerodium anunció que triplicaría temporalmente la recompensa por los exploits de WordPress RCE, y la oferta sigue siendo válida hoy.

El pago habitual por un exploit en el sistema de gestión de contenido (CMS) de código abierto más popular es de 100.000 dólares.

Actualmente, solo WordPress, Mozilla Thunderbird y Microsoft Outlook aparecen como activos en la página de recompensas aumentadas temporalmente.

Las ofertas temporales vencidas recientemente son para RCE y escape sandbox en Google Chrome (ambos hasta $ 400,000) y RCE en el servidor VMware vCenter (hasta $ 150,000).

Descubre más contenido

Subir Change privacy settings