Exploit-Dealer lobt 1/2 Million Dollar für Zugang zur Microsoft-Cloud aus

Cloud, Wolke, Gewitter Bildquelle: cjohnson7 (CC BY 2.0)
Der Exploit-Händler Zerodium sucht jetzt auch nach Wegen, mit denen man nicht mehr nur in Geräte von Zielpersonen, sondern auch in deren Cloud-Instanzen einbrechen kann. Bis zu einer halben Million Dollar ist die Firma bereit zu zahlen, wenn man ihr solche Informationen verkauft statt die jeweiligen Lücken an den Hersteller zu melden. Zerodium ist eine der wichtigsten Quelle von Geheimdiensten und Polizeibehörden, wenn diese Exploits benötigen, um beispielsweise ihre Staatstrojaner auf Rechnern zu platzieren. Aber auch im "normalen" Spionage-Geschäft werden immer häufiger Kenntnisse über Schwachstellen von IT-Systemen benötigt. Der Preis richtet sich dabei danach, wie interessant eine Plattform ist, die mit dem Exploit geknackt werden kann, und wie häufig überhaupt Bugs in diesen gefunden werden. So gehen die Preise für einen iOS-Exploit beispielsweise in den Millionen-Bereich.

Aber auch für Informationen, die Hackern Wege in Cloud-Instanzen ermöglichen, ist man nun zahlungswillig. In den aktuellen Gebots-Listen für den Exploit-Ankauf lobt Zerodium so nun 500.000 Dollar für Sicherheitslücken aus, die Microsofts Hyper-V oder vSphere von Dell/VMware betreffen. Diese Virtualisierungslösungen laufen derzeit unter den meisten Cloud-Instanzen.


Exploit muss gut sein

Gesucht wird dabei nach Exploits, die es einem Angreifer im günstigsten Fall erlauben, aus einer Cloud-Instanz heraus auf das Host-System und von dort aus in andere virtuelle Maschinen vorzudringen. Die Lösung muss dabei unter verschiedenen Konfigurationen funktionieren und somit flexibel genug sein, wenn der volle Preis erzielt werden soll. Für welche Preise die Informationen dann an die Hersteller von Malware weiterverkauft werden, ist quasi Geheimsache.

Die hohen Ankaufspreise kommen allerdings auch zustande, weil Zerodium sich einer durchaus signifikanten Konkurrenz stellen muss. Der erste Gegner ist hier das Gewissen der jeweiligen Sicherheitsforscher. Die meisten Hacker sorgen lieber dafür, dass Nutzer sicher sind und geben ihre Erkenntnisse für die wesentlich geringeren Belohnungen der Bug Bounty-Programme an die Software-Entwickler weiter. Und die schwarzen Schafe verkaufen ihre Exploits gern auch lukrativ an die kriminellen Kreise.

Siehe auch: Exploit-Händler bietet jetzt 2 Millionen Dollar für iOS-Schwachstellen Cloud, Wolke, Gewitter Cloud, Wolke, Gewitter cjohnson7 (CC BY 2.0)
2019-03-06T11:20:00+01:00
Diese Nachricht empfehlen
Kommentieren19
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden