image

Bedrijf vraagt om zerodaylekken in Thunderbird en Microsoft Outlook

vrijdag 28 januari 2022, 10:25 door Redactie, 18 reacties

Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt, heeft nu ook een beloning uitgeloofd voor zerodaylekken in Mozilla Thunderbird. Daarnaast is de beloning voor dergelijke kwetsbaarheden in Microsoft Outlook verhoogd.

Er wordt specifiek gezocht naar exploits waarmee systemen zonder enige interactie van de gebruiker zijn over te nemen. Zogeheten zero-click exploits. Alleen het ontvangen van een e-mail in Outlook of Thunderbird moet genoeg zijn om willekeurige code op het systeem van de gebruiker uit te voeren. In het geval van Thunderbird betaalt Zerodium hier 200.000 dollar voor. De beloning voor een zero-click exploit tegen Microsoft Outlook is verhoogd van 250.000 naar 400.000 dollar. Exploits waarbij de gebruiker wel een e-mail of bijlage moet openen leveren een lagere beloning op.

De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het aan overheidsinstanties levert, voornamelijk uit Europa en de Verenigde Staten. Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Image

Reacties (18)
28-01-2022, 10:49 door Anoniem
Zo slecht (vulnerable) kan Microsoft Outlook dan niet zijn als ze er $400.000 voor over hebben...
28-01-2022, 10:53 door Anoniem
Wapenhandel mag niet, en dit wel? Hoezo ethiek?
28-01-2022, 10:54 door Anoniem
Zouden de beheerders van DNS niet eens actie moeten nemen en dit soort bedrijven uit het systeem verwijderen? Deze bedrijven tasten de veiligheid van internetgebruikers aan. Ze leveren aan "overheidsinstellingen". Maar waar dit soms nuttig kan zijn (actief kunnen bestrijden van criminelen of terroristen) is het normaliter gevaarlijk. Met deze middelen kunnen bedrijven en personen worden aangevallen/afgeluisterd/bestolen, omdat dit volgens de filosofie van dat land wenselijk/toelaatbaar is. En daar hoort dus o.a. (bedrijfs)spionage bij.
28-01-2022, 10:56 door Anoniem
Dank voor deze topic redactie!
Aangezien ik geen enkel risico wil lopen, gaat thunderbird straks van mijn platform af.
28-01-2022, 10:58 door Anoniem
Bedrijf vraagt om zerodaylekken in Thunderbird en Microsoft Outlook
Dit vind ik gewoon crimineel.
Wie pakt dit bedrijf eens aan?
28-01-2022, 11:12 door _R0N_
Door Anoniem:
Bedrijf vraagt om zerodaylekken in Thunderbird en Microsoft Outlook
Dit vind ik gewoon crimineel.
Wie pakt dit bedrijf eens aan?

Ze doen exact hetzelfde at Google, Apple en Microsoft ook doen. geld geven voor melden van lekken.
Wat je doet met die lekken is natuurlijk iets anders.
28-01-2022, 11:13 door _R0N_
Door Anoniem: Zo slecht (vulnerable) kan Microsoft Outlook dan niet zijn als ze er $400.000 voor over hebben...

Als je de lijst bekijkt zijn er vergelijkbare, onverwachte, conclusies
https://zerodium.com/program.html
28-01-2022, 12:19 door Anoniem
Is dit niet gewoon medeplegen? We weten dat de exploits die dit bedrijf levert voornamelijk gebruikt zullen worden om misdrijven te plegen, hoe kan het dan zo zijn dat dit soort bedrijven legaal kunenn opereren terwijl iemand die doorlinkt naar darkweb shops 8 jaar de bak in moet?

Ik snap dat klassenjustitie vanwege de verrechtsing overal steeds normaler wordt maar zo openlijk misdrijven faciliteren (net als NSO en Hacking Team) lijkt me toch niet wenselijk.
28-01-2022, 12:36 door Anoniem
Door Anoniem: Dank voor deze topic redactie!
Aangezien ik geen enkel risico wil lopen, gaat thunderbird straks van mijn platform af.

Ik kan je Mutt aanraden.
28-01-2022, 13:20 door Anoniem
Door Anoniem: Is dit niet gewoon medeplegen? We weten dat de exploits die dit bedrijf levert voornamelijk gebruikt zullen worden om misdrijven te plegen, hoe kan het dan zo zijn dat dit soort bedrijven legaal kunenn opereren terwijl iemand die doorlinkt naar darkweb shops 8 jaar de bak in moet?

Ik snap dat klassenjustitie vanwege de verrechtsing overal steeds normaler wordt maar zo openlijk misdrijven faciliteren (net als NSO en Hacking Team) lijkt me toch niet wenselijk.
In het Nederlands Strafrecht kan dit niet als medeplegen, maar als medeplichtigheid ter kwader trouw en als uitlokking worden gezien. En dan hebben we het nog niet over de misdrijven die in de digitale sector worden begaan.

Als we het over de strafbaarheid hebben van dit bedrijf, dan is de vraag gewettigd waar dit bedrijf is gevestigd en wat de wetgeving daar precies over zegt (of niet zegt).
28-01-2022, 13:23 door Anoniem
Door Anoniem:
Door Anoniem: Dank voor deze topic redactie!
Aangezien ik geen enkel risico wil lopen, gaat thunderbird straks van mijn platform af.

Ik kan je Mutt aanraden.
Dank je voor de tip. Ik heb al een nieuwe: het heet Zivver.
https://app.zivver.com/
28-01-2022, 14:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dank voor deze topic redactie!
Aangezien ik geen enkel risico wil lopen, gaat thunderbird straks van mijn platform af.

Ik kan je Mutt aanraden.
Dank je voor de tip. Ik heb al een nieuwe: het heet Zivver.
https://app.zivver.com
Je weet dat hun website spyware bevat en de sleutel voor beveiligde mail verzonden wordt naar het reeds gebruikte mailadres?
Toevallig net nog kunnen inloggen bij een e-mail die totaal niet voor bij bestemd was. Correct een mailadres schrijven blijft blijkbaar toch lastig.
28-01-2022, 14:45 door Anoniem
Je weet dat hun website spyware bevat en de sleutel voor beveiligde mail verzonden wordt naar het reeds gebruikte mailadres?
Welke spyware? MD5 hash of de naam please.
28-01-2022, 14:58 door Anoniem
Door Anoniem: Wapenhandel mag niet, en dit wel? Hoezo ethiek?

Van wie mag wapenhandel niet?
29-01-2022, 05:35 door Anoniem
Zerodium is een Amerikaanse exploit-broker. Waar bugbounty programmas gericht zijn op vulnerabilities en deze doorspelen aan de ontwikkelaar werkt Zerodium anders. Zij accepteren alleen volledige exploits, moeilijker/kost meer tijd in vergelijk met bugbounties. Deze worden vervolgens verkocht aan overheden. Die kunnen ze inzetten om eigen infra te beschermen maar waarschijnlijker voor spionage doeleinden.

Spionage heeft altijd bestaan en is een noodzakelijk kwaad. Wat uiteraard kan is dat landen onderdanen verbieden om deze kennis aan het buitenland te verkopen. Maar ja dan is er simpelweg het darknet of een usb stick voor een koffer geld in een cafe.
31-01-2022, 09:37 door Anoniem
Je vindt een zeroday, int het geld.
En vervolgens paar dagen later melden bij de softwareontwikkelaar.
31-01-2022, 10:45 door S.A.T.A.N.
Zerodium, een bedrijf dat zeroday-exploits van onderzoekers inkoopt en vervolgens aan andere partijen aanbiedt, heeft nu ook een beloning uitgeloofd voor zerodaylekken in Mozilla Thunderbird. Daarnaast is de beloning voor dergelijke kwetsbaarheden in Microsoft Outlook verhoogd.

Kijk eens naar die bedragen! Behoorlijk lucratieve business als je de kennis en tijd hebt om dergelijke zeroday-exploits te ontdekken en uit te werken.
02-02-2022, 14:56 door Anoniem
Door Anoniem: Je vindt een zeroday, int het geld.
En vervolgens paar dagen later melden bij de softwareontwikkelaar.
Nope, helaas ;-) De meeste worden over x tijd uitbetaald. Lekt het hiervoor, of komt er een patch dan loop je dus geld mis.
Kun je na een patch je exploit ombouwen dan heb je weer kans op een extra betaling.

Welcome to exploitdev :P
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.