Η Microsoft παρουσίασε ένα νέο πρόγραμμα επιβράβευσης σφαλμάτων που στοχεύει στην πλατφόρμα ασφαλείας του
Microsoft Defender
, με ανταμοιβές μεταξύ 500 και 20.000 $.
Ενώ είναι δυνατά υψηλότερα βραβεία, η Microsoft διατηρεί την αποκλειστική διακριτική ευχέρεια να καθορίσει το τελικό ποσό ανταμοιβής με βάση τη σοβαρότητα της ευπάθειας, τον αντίκτυπο και την ποιότητα υποβολής.
Η υψηλότερη ανταμοιβή είναι διαθέσιμη για αναφορές υψηλής ποιότητας σχετικά με τρωτά σημεία εκτέλεσης απομακρυσμένου κώδικα κρίσιμης σοβαρότητας.
Επί του παρόντος, το πρόγραμμα Microsoft Defender Bounty είναι περιορισμένο σε εύρος και θα επικεντρωθεί αποκλειστικά σε αυτό
Microsoft Defender για API Endpoint
(Διεπαφές Προγραμματισμού Εφαρμογών). Ωστόσο, αναμένεται να επεκταθεί για να συμπεριλάβει και άλλα προϊόντα Defender στο
μέλλον
.
“Το πρόγραμμα Microsoft Defender Bounty προσκαλεί ερευνητές σε όλο τον κόσμο να εντοπίσουν τρωτά σημεία στα προϊόντα και τις υπηρεσίες του Defender και να τα μοιραστούν με την ομάδα μας.”
είπε
MSRC Senior Program Manager Madeline Eckert.
“Τα προγράμματα
Bug Bounty
της Microsoft αντιπροσωπεύουν έναν από τους πολλούς τρόπους με τους οποίους επενδύουμε σε συνεργασίες με την παγκόσμια ερευνητική κοινότητα ασφάλειας για να βοηθήσουμε στην ασφάλεια των πελατών της Microsoft.”
|
Τύπος ευπάθειας |
Ποιότητα αναφοράς |
Αυστηρότητα |
|||
|
Κρίσιμος |
Σπουδαίος |
Μέτριος |
Χαμηλός |
||
|
Απομακρυσμένη εκτέλεση κώδικα |
Υψηλός Μεσαίο Χαμηλός |
$20.000 $15.000 $10.000 |
$15.000 $10.000 $5.000 |
$0 |
$0 |
|
Ανύψωση προνομίου |
Υψηλός Μεσαίο Χαμηλός |
$8.000 $4.000 $3.000 |
$5.000 $2.000 1.000 $ |
$0 |
$0 |
|
Αποκάλυψη πληροφοριών |
Υψηλός Μεσαίο Χαμηλός |
$8.000 $4.000 $3.000 |
$5.000 $2.000 1.000 $ |
$0 |
$0 |
|
πλαστογράφηση |
Υψηλός Μεσαίο Χαμηλός |
N/A |
$3.000 $1.200 $500 |
$0 |
$0 |
|
Παραποίηση |
Υψηλός Μεσαίο Χαμηλός |
N/A |
$3.000 $1.200 $500 |
$0 |
$0 |
|
Άρνηση παροχής υπηρεσιών |
Υψηλή χαμηλή |
Εκτός του πεδίου εφαρμογής |
Η πλήρης λίστα των ευπαθειών ασφαλείας εντός πεδίου περιλαμβάνει:
- δέσμες ενεργειών μεταξύ τοποθεσιών (XSS)
- Παραχάραξη αιτημάτων μεταξύ τοποθεσιών (CSRF)
- Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF)
- Παραβίαση ή πρόσβαση δεδομένων μεταξύ ενοικιαστών
- Μη ασφαλείς άμεσες αναφορές αντικειμένων
- Ανασφαλής αποζωνοποίηση
- τρωτά σημεία ένεσης
- Εκτέλεση κώδικα από την πλευρά του διακομιστή
- Σημαντική εσφαλμένη διαμόρφωση ασφαλείας (όταν δεν προκαλείται από τον χρήστη)
- Χρήση στοιχείων με γνωστά τρωτά σημεία (Απαιτείται πλήρης απόδειξη της έννοιας (PoC) της δυνατότητας εκμετάλλευσης. Για παράδειγμα, η απλή αναγνώριση μιας ξεπερασμένης βιβλιοθήκης δεν πληροί τις προϋποθέσεις για βραβείο).
Σύμφωνα με τις οδηγίες της Microsoft, το μπόνους θα απονεμηθεί στην αρχική υποβολή εάν πολλοί ερευνητές ασφαλείας υποβάλουν πολλές αναφορές σφαλμάτων σχετικά με το ίδιο ζήτημα.
Επιπλέον, εάν μια υποβολή πληροί τα κριτήρια για πολλαπλά προγράμματα επιβράβευσης, οι ερευνητές θα λάβουν την υψηλότερη επιβράβευση μεμονωμένης πληρωμής από ένα μεμονωμένο πρόγραμμα επιβράβευσης. Περισσότερες λεπτομέρειες σχετικά με το πρόγραμμα Microsoft Bounty είναι διαθέσιμες στο
αυτή τη σελίδα Συχνών Ερωτήσεων
.
Σήμερα, η Microsoft αποκάλυψε επίσης ότι
κατέβαλε 58,9 εκατομμύρια δολάρια σε ανταμοιβές
σε 1.147 ερευνητές ασφαλείας παγκοσμίως που ανέφεραν 446 επιλέξιμες ευπάθειες σε 22 προγράμματα επιβράβευσης σφαλμάτων.
Ένα μήνα νωρίτερα, η εταιρεία ανακοίνωσε ένα νέο πρόγραμμα επιβράβευσης τεχνητής νοημοσύνης επικεντρωμένο στην εμπειρία
Bing
που βασίζεται στην τεχνητή νοημοσύνη, με ανταμοιβές έως και 15.000 $.
Πέρυσι, η Redmond πρόσθεσε το Exchange, το SharePoint και το Skype for Business στο πρόγραμμα bug bounty και αύξησε τα μέγιστα βραβεία για ελαττώματα ασφαλείας υψηλού αντίκτυπου που αναφέρθηκαν μέσω του προγράμματος Microsoft 365.
VIA:
bleepingcomputer.com
