Se présentant comme une plateforme premium d'achat d'exploits, Zerodium s'est fait connaître avec le versement d'une prime d'un million de dollars pour un jailbreak à distance d'iOS 9. Les clients de cette start-up de cybersécurité sont des agences gouvernementales, des sociétés dans le secteur de la défense, technologie et de la finance qui peuvent payer un demi-million de dollars par an pour accéder à des exploits.
Zerodium avait surpris en affichant clairement sa grille tarifaire pour l'achat auprès de chercheurs en sécurité tiers d'exploits touchant des produits logiciels divers et variés. Dans le haut du panier, iOS et un cran en dessous, Android et Windows Phone.
Des primes conséquentes sont aussi proposées pour des attaques à distance depuis Google Chrome, Flash Player, Adobe PDF Reader. Si pour Flash Player il était question de jusqu'à 80 000 $, une prime exceptionnelle de 100 000 $ est mise en jeu pendant ce mois.
L'exploit devra contourner la sandbox de Flash Player et prendre à défaut une protection heap isolation récemment implémentée. En décembre, Adobe avait évoqué à ce sujet un travail mené grâce à une collaboration avec Microsoft et Project Zero de Google. Le but est de complexifier les possibilités d'attaques tirant parti de vulnérabilités use-after-free (une corruption de mémoire pour exécuter du code arbitraire).
Adobe added isolated heap to Flash. This month we pay $100K (with sandbox) and $65K (without sandbox) per #exploit bypassing this mitigation
— Zerodium (@Zerodium) 5 Janvier 2016
Si un tel exploit voit le jour, il restera probablement 0-day (sans correctif) pendant bien longtemps, à l'insu d'Adobe et des utilisateurs. Seuls les clients de Zerodium seront au courant.
