Etiket arşivi: Zerodium

Zafiyet

Microsoft’un Outlook 0-day zafiyetlerini bulana 400 bin dolar ödül

Yorum yapın

Microsoft'un Outlook 0-day zafiyetlerini bulana 400 bin dolar ödülBilgi güvenliği şirketi Zerodium, Microsoft Outlook e-posta istemcisinde uzaktan kod yürütülmesine (RCE) izin veren 0-day güvenlik zafiyeti ödüllerinin 400.000 dolara kadar yükseldiğini duyurdu.

Şirket tarafından atılan bir tweette yeni ödeme miktarının kalıcı olmadığı belirtilirken başvuru süresinin ne zaman sona ereceğinin hala net olmadığı ifade edildi. 

Zerodium’un Windows’a ait Microsoft Outlook’ta bulunan RCE zafiyetini bulanlara yönelik düzenli olarak verdiği ödül 250.000 dolar. Microsoft’un e-posta istemcisi iletileri alırken veya indirirken ‘sıfır tıklama’ olarak adlandırılan ve herhangi bir etkileşim olmadan uzaktan kod yürütülmesini sağlayan güvenlik açığı için ise 400 bin dolar veriliyor. 

ÖDÜL 250 BİNDEN 400 BİNE ÇIKARILDI

Zerodium tarafından yapılan açıklamada şu ifadeler yer aldı: “Microsoft Outlook RCE’leri karşılığında yapacağımız ödemeyi geçici olarak 250 bin dolardan 400 bin dolara çıkarıyoruz. Outlook’ta e-posta alırken veya indirirken, kötü amaçlı e-posta mesajını okumak veya bir eki açmak gibi herhangi bir kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine yol açan sıfır tıklama istismarlarını bildirecek kişiler arıyoruz.” 

Şirket ayrıca e-postanın açılmasını veya okunmasını gerektiren zaafiyetler karşılığında daha düşük miktarlarda da olsa ödül verdiğini açıkladı. Zerodium ayrıca şu anda Mozilla Thunderbird’de uzaktan kod yürütülmesine yol açan açıklar için 200 bin dolara kadar ödül verdiğini ve 2019’dan bu yana verilen ödülün aynı olduğunu hatırlattı. Mozilla Thunderbird için Microsoft Outlook’ta olduğu gibi zaafiyet ödemeleri için de aynı koşullar geçerli. 

BAŞVURU SÜRESİNİN UZUN OLACAĞI ÖN GÖRÜLÜYOR

Bir e-posta istemcisindeki RCE, saldırganlara mevcut tüm hesaplara erişim izni veriyor. Şirket sıfır tıklama zaafiyetlerini bildirmek için bir “deadline” belirtmemiş olsa da bu sürenin oldukça uzun olabileceği düşünülüyor. 

31 Mart 2021’de Zerodium, WordPress RCE açıkları için ödülün geçici olarak üç katına çıktığını açıklamıştı, ödül bugün hala geçerli. En popüler açık kaynaklı içerik yönetim sisteminde (CMS) bir zafiyet bildirme karşılığında yapılan düzenli ödeme ise 100.000 dolar.

Şu anda, geçici olarak artırılan ödüllerin verildiği listede WordPress, Mozilla Thunderbird ve Microsoft Outlook etkin olarak görülüyor. 

Siber Güvenlik

Tor’da güvenlik zafiyeti bulanlara 1 Milyon $

Yorum yapın

Güvenlik zaafiyeti ve istismar satın almak üzere 2015 yılında kurulan Zerodium, geçen hafta yaptığı duyuruda, kullanıcıların isimsiz bir ağa katılmasını ve bu sayede mahremiyetlerin korunmasını sağlayan web tarayıcısı Tor’da bulunan sıfırıncı gün açıklıklarını bildirenlere toplamda 1 milyon dolarlık ödül vereceğini açıkladı.

Geçtiğimiz yıl iPhone’a sızmayı sağlayacak istismarı bulana 1 milyon dolar ödeme yapacağını açıklayarak tartışmalara neden olan şirket, tespit edilen güvenlik zafiyetlerini hükümetteki müşterilerine satmayı planlıyor. Bu şekilde Tor’u uyuşturucu satışı ve çocuk istismarı için kullanan insanları belirleyebileceğini ve “dünyanın hepimiz için daha iyi ve daha güvenli bir yer hâline getirebileceğini” iddia ediyor.

İlgili haber>> “Tor”un açığını keşfedene 4 bin dolar

Windows ve mahremiyet odaklı bir Linux dağıtımı olan Tails işletim sistemindeki açıklıklarının da  bulunmasını isteyen şirket,  JavaScript’in engellendiği “yüksek” güvenlik önlemlerindeki güvenlik zafiyetlerini bulanlara büyük ödül verecek. Bunun yanı sıra Zerodium, Tor’da JavaScript’in etkin olduğu “düşük” güvenlik ayarlarında istismarların tespitine de büyük miktarda para ödülü vermeye hazırlanıyor.

JavaScript engelliyken hem Windows 10’da, hem de Tails 3.x’de işe yarayan, uzaktan kod çalıştırılmasını ve erişimin arttırılmasını sağlayan zafiyeti tespit edenler, 250.000 dolara kadar ödül kazanabilecek. Bulunan zafiyetin sadece bir işletim sisteminde kullanılması durumunda bile araştırmacıya 200.000 dolara kadar bir ödül verilecek.

JavaScript engelliyken uzaktan kod çalıştıran bir kullanımın tespitiyle 185.000 dolara kadar kazanç sağlanabilir. JavaScript’in etkin olduğu güvenlik açıklıklarında eğer iki durum da tespit edilmişse 125.000 dolara, tek durum tespit edilmişse 85.000 dolara kadar para ödülü alınabilecek. Tek bir işletim sisteminde uzaktan kod çalıştırma tespit eden ise minimum ödül olan 75.000 doları alacak.

Zerodium’un yaptığı açıklamaya göre bu istismarların gizlice çalışması gerekiyor, kullanıcı etkileşimine de sadece özel yapılmış bir sayfanın ziyareti sırasında izin veriliyor. Tor ağının kontrolü ya da yönlendirilmesiyle bulunan zafiyetler ile Tor ağına zarar verecek açıklıklar kabul edilmeyecek.

Zerodium, “Modern sistemlerde güvenlik zafiyetleri daha fazla ve daha etkili bir şekilde engelleniyor. Tarayıcıların güvenlik açıklıklarından yararlanmak her geçen gün daha da zorlaşıyor. Ama ne kadar zor olursa olsun araştırmacılar, yetenekleri ve JavaScript gibi programlar sayesinde tarayıcıları istismar etmenin yeni yollarını geliştirebiliyor” ifadelerini kullandı.

İlgili haber>> CIA, Mac bilgisayarlara sızmanın yolunu bulmuş

Tor Tarayıcı Ödülleri 30 Kasım’a kadar devam edecek. Ancak 1 milyon dolarlık ödenek dağıtılırsa daha erken bir tarihte sona erebilir.

Şirket, ilk kez 1 milyon dolarlık ödül dağıtmıyor. 2015 yılında iOS 9.1 sisteminde bilgisayara bağlı olmayan bir telefonda tarayıcı üzerinden yazılımı kıran bir hacker takımına bu miktarı ödediğini söylüyor.

Zerodium, popüler mesajlaşma ve elektronik posta uygulamalarını etkileyen, uzaktan kod çalıştırma ve erişimin arttırılmasını sağlayacak güvenlik açıklıklarının tespitine 500.000 dolara kadar ödeme yapacağını da geçen ay duyurdu.

Siber Bülten abone listesine kaydolmak için doldurunuz!