Het exploitacquisitiebedrijf Zerodium toonde deze week meer interesse in het kopen van zero-day exploits gericht op de populaire e-mailclients Microsoft Outlook en Mozilla Thunderbird.
Het bedrijf was al op zoek naar Microsoft Outlook zero-day exploits, maar deze week kondigde het hogere maximale uitbetalingen voor hen aan, van $ 250,000 naar $ 400,000, maar slechts tijdelijk.
"We zijn op zoek naar zero-click exploits die leiden tot het uitvoeren van code op afstand bij het ontvangen/downloaden van e-mails in Outlook, zonder dat gebruikersinteractie nodig is, zoals het lezen van het kwaadaardige e-mailbericht of het openen van een bijlage", zegt het bedrijf.
Zerodium is ook bereid te betalen voor exploits die interactie van de gebruiker vereisen, zoals het openen en lezen van een e-mail, maar zegt daar minder voor te betalen.
De aankondiging van het bedrijf komt op dezelfde dag dat een Trustwave-onderzoeker details onthulde van een nieuwe methode om een beveiligingsfunctie van Outlook te omzeilen om kwaadaardige links aan slachtoffers te leveren. Microsoft heeft de bypass in de zomer van 2021 aangepakt.
Deze week maakte Zerodium ook bekend geïnteresseerd te zijn in het verwerven van zero-day exploits die gericht zijn op Thunderbird en leiden tot uitvoering van code op afstand.
Voor exploits waarvoor alleen e-mails moeten worden ontvangen/downloaden, maar geen gebruikersinteractie, is het bedrijf bereid tot $ 200,000 te betalen. Zeroodium zegt dat het ook exploits kan verwerven die het openen/lezen van een e-mail vereisen, maar voor een lagere beloning.
Het bedrijf heeft nog niet aangekondigd wanneer deze tijdelijke aanbiedingen zullen eindigen.
Zie ook: Zero-day-exploits kopen die gericht zijn op VPN-software
Zie ook: Zerodium biedt $ 100,000 voor Pidgin Zero-Day Exploits
Zie ook: Zerodium biedt $ 500,000 voor VMware ESXi, Microsoft Hyper-V Exploits
Ionut Arghire is een internationale correspondent voor SecurityWeek.
Tags:
