Zerodium Spikes Payout untuk Zero-Click Outlook Zero-Days

Zerodium telah menaikkan harga penawarannya untuk eksploitasi zero-day Microsoft Outlook.

Bertindak cepat jika Anda memiliki barang dan keseimbangan moral, untuk menghasilkan hingga $400.000 untuk eksploit tanpa klik, eksekusi kode jarak jauh (RCE).

“Nol -klik” berarti bahwa target tidak perlu membaca pesan email berbahaya atau membuka lampiran yang dicurangi. Zerodium mengatakan bahwa mereka mungkin masih ingin membeli jenis eksploitasi itu juga – hanya dengan harga yang lebih rendah.

Lonjakan harga hanya bersifat sementara, dengan tanggal akhir yang masih harus ditentukan, menurut posting hari Kamis dari Zerodium, runner of high- end, high-dollar, program bounty bug pihak ketiga.

“Kami sementara meningkatkan pembayaran kami untuk Microsoft Outlook RCE dari $250.000 menjadi $400.000. Kami mencari eksploitasi tanpa klik yang mengarah ke eksekusi kode jarak jauh saat menerima/mengunduh email di Outlook, tanpa memerlukan interaksi pengguna apa pun seperti membaca pesan email berbahaya atau membuka lampiran. Eksploitasi yang mengandalkan membuka/membaca email dapat diperoleh dengan imbalan yang lebih rendah.” – Zerodium

Selain itu, Zerodium telah meningkatkan pembayaran menjadi $200.000 untuk zero-click, eksploitasi RCE yang memengaruhi browser Mozilla Thunderbird.

Serupa dengan eksploitasi Outlook yang dicarinya, Zerodium mencari eksploitasi tanpa klik yang dapat mencapai RCE di Thunderbird saat target menerima atau mengunduh email, semua tanpa pengguna harus mengangkat jari untuk menjadi korban.
Kami saat ini membayar hingga $200.000 per exploit untuk Mozilla Thunderbird RCEs.

Kami juga (sementara) meningkatkan hadiah kami untuk MS Outlook RCE menjadi $400.000 (dari $250.000 ).

Rincian lebih lanjut di: https://t.co/VL04uBvgUj

— Zerodium (@Zerodium) 27 Januari 2022

Semangat baru Trigger

Zerodium untuk eksploitasi Outlook datang pada hari yang sama ketika Trustwave SpiderLabs memublikasikan detail tentang cara baru Outlook untuk fitur keamanan untuk mengirimkan tautan jahat ke korban.

As, arsitek ancaman utama SpiderLabs, Reegun Richard Jayapaul menjelaskan kemarin, dia menemukan masalah tersebut setelah menemukan beberapa email yang melewati sistem keamanan email saat dia sedang menyelidiki kampanye malware. Dia tidak melihat teknik bypass yang digunakan, meskipun.

“Sebaliknya, banjir email spear-phishing membuat sistem keamanan email mengizinkan beberapa email, di mana saya memulai penelitian saya di Microsoft Outlook,” tulisnya .

SpiderLabs menemukan bahwa penguraian untuk tautan berbahaya yang dibuat secara khusus lemah pada sistem.

“Ini bukan tentang bypass deteksi; ini lebih tentang pengurai tautan dari sistem keamanan email yang tidak dapat mengidentifikasi email yang berisi tautan,” kata Jayapaul.

Ternyata SpiderLabs menemukan variasi kerentanan, dilacak sebagai CVE-2020-0696, yang awalnya ditangani Microsoft dengan pada Februari 2020.

Kerentanan bypass fitur keamanan terjadi di Microsoft Outlook saat menangani penguraian format URI dengan tidak benar. Eksploitasi yang berhasil mengharuskan penyerang untuk menggunakan pintasan bersama dengan kerentanan lain, seperti kerentanan RCE, sebelum mereka dapat menjalankan kode arbitrer.

Karena terjemahan hyperlink yang tidak tepat, pintasan fitur keamanan Outlook awal memungkinkan penyerang yang menggunakan Outlook untuk Mac untuk sepenuhnya melewati sistem keamanan email Outlook dan mengirim tautan berbahaya yang dapat diklik – SpiderLabs menggunakan contoh di bawah – ke korban di Outlook untuk Windows.

http://trustwave[.]com dengan file hyperlink:///malciouslink

Tautan perusak yang berbahaya awalnya hanya tampak berfungsi jika penyerang menggunakan Microsoft Outlook untuk Mac dan korban yang mereka maksud ada di Microsoft Outlook untuk Windows.

Dapat dieksploitasi di Windows dan Mac Klien Outlook

Namun, seperti yang kemudian diketahui oleh peneliti SpiderLabs, kerentanan dapat dieksploitasi pada klien Windows dan macOS Outlook jika tautan yang sah di-hyperlink dengan “http://maliciouslink.”

Jayapaul ex menjelaskan bahwa sistem email menghapus karakter “:/” dan mengirimkan tautan sebagai “http://maliciouslink,” melewati Microsoft ATP Safelink dan produk keamanan email lainnya.

“Sesuai patch CVE-2020-0696, tautan dengan skema URI akan mengingatkan sebagai popup peringatan; juga karakter ‘:/’ dilucuti saat dikirimkan ke pengguna,” peneliti menjelaskan.

Misalnya, “file:///trustwave.com,” diterjemahkan menjadi “http://trustwave.com.”

“Selama transmisi ini dari pengirim ke penerima, file tautan:///trustwave.com tidak dikenali oleh sistem keamanan email mana pun dan dikirimkan ke korban sebagai tautan yang dapat diklik.”

Pengujian awal dilakukan pada fitur keamanan Microsoft O365 “Perlindungan tautan aman” dan kemudian diuji dan dikonfirmasi pada beberapa sistem keamanan email, SpiderLabs dikonfirmasi.