Microsoft Outlook のゼロデイ/ゼロクリック RCE 脆弱性の報奨金は $400,000

Microsoft Outlook RCE zero-day exploits now selling for $400,000

2022/01/28 BleepingComputer — Exploit Brokerである Zerodium は、Microsoft Outlook メール・クライアントにおけるリモートコード実行 (RCE) を可能にする、ゼロデイ脆弱性に対する報酬を $400,000 に引き上げることを発表した。同社は、この新たな報酬額は永続的なものではないと短いツイートで述べているが、提出の終了日はまだ公表されていない。

ゼロクリック・エクスプロイトへの要求

Microsoft Outlook (Windows版) の RCE 脆弱性に対する、Zerodium の通常の報奨金は $250,000 であり、「完全に機能する信頼性の高いエクスプロイト」が要求されている。そして、$400,000 の懸賞金では、Microsoft のメール・クライアントがメッセージを受信またはダウンロードしているときに、何の操作も必要とせずにリモートコードを実行する、いわゆる「ゼロクリック」と呼ばれるエクスプロイトが要求されている。

Zerodium は、「Microsoft Outlook の RCE に対する支払い額を、一時的に $250,000 から $400,000 に引き上げる。私たちは、Outlook でメールを受信/ダウンロードする際に、悪意のメール・メッセージの参照や、添付ファイルのオープンといったユーザー操作を必要とせずに、リモートコードの実行につながるゼロクリック型のエクスプロイトを探している」と述べている。

同社は、メールの開封/参照を必要とするエクスプロイトへの報奨金を除外していないが、提出者への支払い額は低く、その金額も非公開となっている。

また、Zerodium は、Mozilla Thunderbird のリモートコード実行につながるエクスプロイトに対しても、2019年から提供している報奨金と同額の、最大で $200,000 を提供している。Mozilla Thunderbird のエクスプロイトへの支払いには、Microsoft Outlook の場合と同じ条件が適用される。つまり、メール・クライアントで RCE を行われると、攻撃者は利用可能な全アカウントへのアクセスを許可されるというものだ。

同社は、ゼロクリックの Microsoft Outlook エクスプロイト提出の終了日を明示していないが、その期間はかなり長くなる可能性があるという。

2021年3月31日に Zerodium は、WordPress の RCEエクスプロイトの懸賞金を、一時的に3倍にすることも発表しており、このオファーは現在も有効である。この、人気のオープンソース CMS のエクスプロイトに対する報奨金は、通常では $100,000 となっている。

現在の Zerodium において、一時的な報奨金の増額を示すページには、WordPress/Mozilla Thunderbird/Microsoft Outlook のみがアクティブと掲載されている。
最近に失効した一時的なオファーは、Google Chrome の RCE とサンドボックス・エスケープ (ともに最高で $400,000) と、VMware vCenter server の RCE (最高で $150,000) である。

Zerodium のビジネスモデルが、いまいち理解できていないところがありますが、他のバグバウンティと比べると、かなり制約が多く、また、報奨金が大きいところが特徴です。この Microsoft Outlook に関しても、まったく同じことが言えますし、こうした大物脆弱性がダークウェブに流れてしまうと、たいへんな騒ぎになることも確かです。これまでの Zerodium 関連のポストとしては、2021年7月の「Zerodium ゼロデイ・ブローカーが VMware vCenter の RCE 脆弱性を募集している」と、2021年10月の「Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象」がありますので、よろしければ、ご参照ください。

%d bloggers like this: