Bilgi güvenliği şirketi Zerodium, Microsoft Outlook e-posta istemcisinde uzaktan kod yürütülmesine (RCE) izin veren 0-day güvenlik zafiyeti ödüllerinin 400.000 dolara kadar yükseldiğini duyurdu.
Şirket tarafından atılan bir tweette yeni ödeme miktarının kalıcı olmadığı belirtilirken başvuru süresinin ne zaman sona ereceğinin hala net olmadığı ifade edildi.
Zerodium’un Windows’a ait Microsoft Outlook’ta bulunan RCE zafiyetini bulanlara yönelik düzenli olarak verdiği ödül 250.000 dolar. Microsoft’un e-posta istemcisi iletileri alırken veya indirirken ‘sıfır tıklama’ olarak adlandırılan ve herhangi bir etkileşim olmadan uzaktan kod yürütülmesini sağlayan güvenlik açığı için ise 400 bin dolar veriliyor.
ÖDÜL 250 BİNDEN 400 BİNE ÇIKARILDI
Zerodium tarafından yapılan açıklamada şu ifadeler yer aldı: “Microsoft Outlook RCE’leri karşılığında yapacağımız ödemeyi geçici olarak 250 bin dolardan 400 bin dolara çıkarıyoruz. Outlook’ta e-posta alırken veya indirirken, kötü amaçlı e-posta mesajını okumak veya bir eki açmak gibi herhangi bir kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine yol açan sıfır tıklama istismarlarını bildirecek kişiler arıyoruz.”
Şirket ayrıca e-postanın açılmasını veya okunmasını gerektiren zaafiyetler karşılığında daha düşük miktarlarda da olsa ödül verdiğini açıkladı. Zerodium ayrıca şu anda Mozilla Thunderbird’de uzaktan kod yürütülmesine yol açan açıklar için 200 bin dolara kadar ödül verdiğini ve 2019’dan bu yana verilen ödülün aynı olduğunu hatırlattı. Mozilla Thunderbird için Microsoft Outlook’ta olduğu gibi zaafiyet ödemeleri için de aynı koşullar geçerli.
BAŞVURU SÜRESİNİN UZUN OLACAĞI ÖN GÖRÜLÜYOR
Bir e-posta istemcisindeki RCE, saldırganlara mevcut tüm hesaplara erişim izni veriyor. Şirket sıfır tıklama zaafiyetlerini bildirmek için bir “deadline” belirtmemiş olsa da bu sürenin oldukça uzun olabileceği düşünülüyor.
31 Mart 2021’de Zerodium, WordPress RCE açıkları için ödülün geçici olarak üç katına çıktığını açıklamıştı, ödül bugün hala geçerli. En popüler açık kaynaklı içerik yönetim sisteminde (CMS) bir zafiyet bildirme karşılığında yapılan düzenli ödeme ise 100.000 dolar.
Şu anda, geçici olarak artırılan ödüllerin verildiği listede WordPress, Mozilla Thunderbird ve Microsoft Outlook etkin olarak görülüyor.
