Η Microsoft χορήγησε πάνω από 370.000 $ σε bug bounties σε ερευνητές ασφαλείας για αναφορές ευπαθειών που υποβλήθηκαν μέσω του Azure Sphere Security Research Challenge (ASSRC) IoT-focused ερευνητικού προγράμματος. Το Azure Sphere Security Research Challenge είναι μια επέκταση 3 μηνών στο bounty πρόγραμμα του Azure Security Lab που ανακοίνωσε η Microsoft στο Black Hat 2019.
Η επέκταση ASSRC προσέθεσε στα ήδη υπάρχοντα κίνητρα, το πλαίσιο συντονισμού και τους πόρους υποστήριξης, ώστε να καταστήσει την Συντονισμένη Αποκάλυψη Ευπαθειών (CVD) πιο εύκολη για τους ερευνητές και να ενθαρρύνει περαιτέρω την έρευνα του Αzure Sphere.
Όπως αναφέρει το BleepingComputer, 70 ερευνητές από περισσότερες από 20 χώρες υπέβαλαν 40 αναφορές ευπαθειών από την 1η Ιουνίου 2020 μέχρι τις 31 Αυγούστου 2020, με 30 από αυτές τις αναφορές να οδηγούν σε βελτιώσεις της λύσης ασφαλείας του Αzure Sphere IoT.
Η Microsoft έδωσε χρήματα ως επιβράβευση σε ερευνητές που μπόρεσαν να αποδείξουν την ικανότητά τους να εκτελέσουν κώδικα στο Secure World της πλατφόρμας εφαρμογών Azure Sphere ή στο υποσύστημα ασφαλείας Microsoft Pluton.
Επιπλέον, ο τεχνολογικός κολοσσός δήλωσε ότι πολλές από τις ευπάθειες που εντοπίστηκαν κατά τη διάρκεια της ερευνητικής πρόκλησης ήταν καινοτόμες και με υψηλό αντίκτυπο, οδηγώντας με αυτόν τον τρόπο σε σημαντικές βελτιώσεις ασφαλείας για το Azure Sphere στις 20.07, 20.08 και τις τελευταίες ενημερώσεις 20.09, οι οποίες έχουν προωθηθεί αυτόματα σε συσκευές Azure Sphere που είναι συνδεδεμένες στο Διαδίκτυο, για την διασφάλιση των πελατών του Azure Sphere αλλά και την επέκταση των συνεργασιών της Microsoft με την παγκόσμια ερευνητική κοινότητα ασφάλειας IoT.
Η εταιρεία πρόσθεσε ακόμη ότι οι ερευνητές ασφαλείας της McAfee ATR και της Cisco Talos ανέφεραν μερικές από τις ευπάθειες με το μεγαλύτερο αντίκτυπο στο Azure Sphere, συμπεριλαμβανομένης μιας αλυσίδας πλήρους επίθεσης που αναπτύχθηκε από την McAfee ATR που εξέθεσε μια αδυναμία στο cloud και πολλές αδυναμίες στη συσκευή, μεταξύ των οποίων περιλαμβάνεται μία προηγουμένως άγνωστη ευπάθεια στον πυρήνα Linux.
Οι ερευνητές που συμμετείχαν στην πρόκληση πέτυχαν τρία από τα γενικά σενάρια που επικεντρώθηκαν σε διάφορα επίπεδα του λειτουργικού συστήματος Azure Sphere:
- Οτιδήποτε επιτρέπει την εκτέλεση μη υπογεγραμμένου κώδικα που δεν είναι καθαρό ROP (Return Oriented Programming) με Linux.
- Οτιδήποτε επιτρέπει την κλιμάκωση προνομίων εκτός των δυνατοτήτων που περιγράφονται στη δήλωση εφαρμογής (π.χ. αλλαγή αναγνωριστικού χρήστη, προσθήκη πρόσβασης σε binary).
- Δυνατότητα τροποποίησης λογισμικού και επιλογών διαμόρφωσης (εκτός από το πλήρες reset συσκευής) σε μια συσκευή σε κατάσταση κατασκευής.
Οι ερευνητές μπορούν ακόμη να υποβάλουν αναφορές για τυχόν ευπάθειες υψηλού αντικτύπου στο Azure Sphere, στο πλαίσιο του Microsoft Azure bounty προγράμματος, με τις καλύτερες αναφορές να είναι υποψήφιες για βραβεία έως και 40.000$.
Η Microsoft ανακοίνωσε τον Αύγουστο ότι έχει απονείμει 13,7 εκατομμύρια δολάρια σε ερευνητές που ανέφεραν ευπάθειες τους τελευταίους 12 μήνες μέσω 15 bug bounty προγραμμάτων, μεταξύ 1 Ιουλίου 2019 και 30 Ιουνίου 2020. Μόνο το 2020, η εταιρεία εκτέλεσε έξι νέα bug bounty προγράμματα και δύο νέες επιχορηγήσεις ερευνών, λαμβάνοντας 1.226 αναφορές ευπαθειών από 327 ερευνητές ασφαλείας. Τέλος, η Microsoft προσχώρησε επίσης στο Open Source Security Foundation (OpenSSF) ως ιδρυτικό μέλος τον Αύγουστο, μαζί με τις GitHub, Google, IBM, JPMC, NCC Group, OWASP Foundation και Red Hat.
