Lỗ hổng RCE trên Microsoft Outlook có thể bán được với giá 400.000 USD

Hãng Zerodium vừa tuyên bố rằng họ đã tăng mức giá thu mua lỗ hổng zero-day cho phép thực thi code từ xa (RCE) trên Microsoft Outlook lên tới 400.000 USD (tương đương 9 tỷ đồng). Zerodium là một công ty bảo mật của Mỹ chuyên thu mua các lỗ hổng zero-day để phục vụ mục đích nghiên cứu sau đó báo cáo và đề xuất cách khắc phục cho các hãng.

Zerodium không tiết lộ ngày kết thúc của đợt tăng giá thu mua này mà chỉ chia sẻ rằng nó sẽ chỉ được áp dụng trong ngắn hạn.

Khai thác zero-click

Thông thường, Zerodium sẽ chi 250.000 USD cho một lỗ hổng RCE trên ứng dụng Microsoft Outlook dành cho Windows. Yêu cầu tối thiểu là lỗ hổng ấy phải có phương thức khai thác hoạt động tốt, đầy đủ chức năng và đáng tin cậy.

Tuy nhiên, khi mức giá được tăng lên 400.000 USD, Zerodium yêu cầu lỗ hổng phải được khai thác để thực thi code từ xa mà không cần bất kỳ tương tác nào từ nạn nhân, hay còn gọi là zero-click. Quá trình khai thác diễn ra ngay trong khi Outlook đang nhận và tải xuống email.

"Chúng tôi đang tạm thời tăng khoản thanh toán cho các lỗ hổng RCE trên Microsoft Outlook từ 250.000 USD lên 400.000 USD. Chúng tôi đang tìm kiếm phương thức khai thác zero-click dẫn tới thực thi code từ xa khi nhận/tải xuống email trong Outlook mà không cần bất cứ sự tương tác nào của người dùng như đọc email độc hại hoặc mở tệp đính kèm", Zerodium chia sẻ.

Đương nhiên là các lỗ hổng có thể khai thác bằng cách lừa người dùng đọc email độc hại hoặc mở file đính kèm vẫn sẽ được Zerodium ghi nhận. Tuy nhiên, khoản tiền nhận được sẽ ở dưới mức 400.000 USD.

Nếu bạn là chuyên gia bảo mật và đang có trong tay lỗ hổng RCE của Microsoft Outlook thì đừng ngại ngần mà hãy liên hệ ngay với Zerodium.