你還記得嗎iOS駭客大賽由零日漏洞賣家 Zerodium 於 2015 年底推出?贏得它的著名陌生人帶著一百萬美元離開了。這是當今蘋果設備零日缺陷的市場價格。
那麼 Windows 呢?顯然便宜了十倍。在俄羅斯駭客論壇上,該公司的安全研究人員信任波最近,我們驚訝地發現針對 Windows 零日漏洞的報價為 90,000 美元。
該公告出現在其他不太有趣的產品中,例如殭屍網路租賃或開發工具包。「在這些常見的產品中發現零日漏洞顯然是一種反常現象。這表明零日漏洞正在從陰影中崛起,成為商品,這是可怕的”,研究人員在部落格中解釋。事實上,到目前為止,零日漏洞一直被認為是罕見的產品,因此需要謹慎對待。因此,銷售是相當謹慎的,而不是在論壇上公開進行。
看似嚴肅的公告
然而,研究人員並不認為這項提議是個騙局。他們發現解釋和演示影片非常有說服力。該漏洞允許權限升級。它不像遠端程式碼執行那麼重要,但仍然不錯。在某種複雜的電腦攻擊中通常必不可少的工具。
據駭客稱,該漏洞可以在所有 Windows 系統上被利用,包括最新修補的 Windows 10 版本。 Microsoft 的 EMET 行為偵測引擎也不會偵測到它。 FireEye 最近發現了類似的零日漏洞,並於 4 月 11 日由微軟修正。駭客則聲稱這個缺陷是不同的。目前,很難知道這是否屬實。
無論如何,正如 KrebsOnSecurity 部落格指出的那樣,收取的價格是相當一致的。那裡Zerodium 價格表顯示 Windows 漏洞的價值遠低於 iOS 或 Android 的漏洞。
資料來源:
