Köparna är inte bita: Windows zero-day fel pris sänkt

En zero-day sårbarhet som påstås äventyrar en rad Microsoft Windows-system har gått på försäljning som säljaren fortsätter att söka en köpare.

Efter att ha gått på försäljning i maj, utnyttja pris har skurits ner två gånger – och är nu på marknaden för det förmånliga priset av $ 85,000.

Tidigare denna månad, rapporter framkommit att en underjordisk säljare, BuggiCorp, erbjöd en ganska sällsynt zero-day sårbarhet som uppenbarligen fungerar mot versioner av Windows från Windows 2000 till den aktuella Windows 10 operativsystem.

Den utnyttjar, till försäljning på den ryska forumet exploit.in, ursprungligen erbjuds med en prislapp på $ 95.000, som senare sjönk till $ 90.000, som skall betalas i den virtuella valutan Bitcoin.

I en uppdatering, Trustwave Forskarna noterar att säljaren har återigen sänkt sitt pris för zero-day utnyttja till $ 85.000 i strävan att hitta en köpare.

“Detta innebär att utnyttja har inte sålt ännu och säljare kan ha problem med att hitta en köpare,” laget anteckningar.

Zero-day sårbarheter är sällsynta erbjudanden på sådana forum och kan ofta hämta höga priser som säljare, av sårbarhet natur, har inte upptäckt eller lappat problemet, potentiellt ger cyberattackers ett brett pool av offren till målet.

BuggiCorp påstådda sårbarhet är en eskalering av lokal behörighet (LPE) bugg, som kan användas tillsammans med andra sårbarheter för att göra andra fel mycket allvarligare.

Även om inte lika farligt som fjärrkörning av kod brister, LPE utnyttjar är fortfarande en viktig del i att länka andra buggar tillsammans för ändamål inklusive system kapning, datastöld och malware droppar.

Säkerhetsexpert Brian Krebs har kallat utnyttja “övertygande”, som säljaren har lämnat två proof-of-concept (PoC) filmer som verkar visa utnyttja arbetar framgångsrikt mot aktuella fönster maskiner som är helt lappade och up-to-date.

Det framgår också att den zero-day är kunna kringgå skydd som erbjuds av Microsofts Enhanced Mitigation Experience Toolkit (EMET).

För att främja sin sak, är säljaren också villiga att acceptera betalning genom en oberoende depositionstjänst för att ge köparna en chans att testa utnyttja innan medlen tas – vilket också ger trovärdighet till utnyttja.

Kostnaden för Ransomware attacker: $ 1 miljard år, Chrome och börja märkning HTTP-anslutningar som osäkra, det Hyperledger Project växer som gangbusters, Nu kan du köpa ett USB-minne som förstör allt i sin väg

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

I maj, fast Microsoft ett antal kritiska sårbarheter som påverkar Internet Explorer och Edge som en del av Patch tisdag. Redmond jätten har också ändrat platsen för vissa säkerhetsbulletiner till Microsoft Update-katalogen när uppdateringar inte är noterade på Microsofts Download Center.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund