Η Microsoft ανακοίνωσε ότι αυξάνει τις αμοιβές για τις σοβαρές ευπάθειες (αυτές που έχουν σημαντικές επιπτώσεις) που αναφέρονται μέσω των προγραμμάτων bug bounty Microsoft 365 και Dynamics 365 / Power Platform.
Με την προσθήκη scenario-based bounty awards σε αυτά τα δύο πρόγραμμα, οι ερευνητές ασφαλείας που αναφέρουν ευπάθειες του Office 365 και υπηρεσιών του Microsoft Account μπορούν να κερδίσουν πολύ πιο υψηλές αμοιβές σε σχέση με πριν (αύξηση έως και 30%).
Δείτε επίσης: Η Microsoft αναλαμβάνει τον έλεγχο της υποδομής botnet ZLoader
“Μέσα από αυτά τα νέα scenario-based bounty awards, ενθαρρύνουμε τους ερευνητές να εστιάσουν την έρευνά τους σε ευπάθειες που έχουν τον υψηλότερο δυνατό αντίκτυπο στο απόρρητο και την ασφάλεια των πελατών“, αποκάλυψε μια ανακοίνωση του Microsoft Security Response Center (MSRC).
“Τα βραβεία αυξάνονται έως και 30% ($26.000 USD συνολικά) για τις κατάλληλες υποβολές σεναρίων“.
Ωστόσο, η Microsoft πρόσθεσε ότι και σφάλματα με μικρότερο αντίκτυπο ενδέχεται να εξακολουθούν να είναι επιλέξιμα για επιβραβεύσεις, στο πλαίσιο του General Awards program.
Θα μπορούσαν επίσης να λάβουν υψηλότερες ανταμοιβές με βάση τη σοβαρότητα της αναφερόμενης ευπάθειας και την ποιότητα των υποβολών.
“Εάν μια αναφερόμενη ευπάθεια δεν πληροί τις προϋποθέσεις για bounty award σύμφωνα με τα High Impact Scenarios, μπορεί να είναι επιλέξιμη για ένα bounty award στο πλαίσιο των General Awards“, λέει συγκεκριμένα η εταιρεία.
Microsoft bug bounty
| Scenario | Maximum Award |
| Remote code execution through untrusted input (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”) | 30.00% |
| Remote code execution through untrusted input (CWE-502 “Deserialization of Untrusted Data”) | 30.00% |
| Unauthorized Cross-tenant and cross-identity sensitive data1 leakage (CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”) | 20.00% |
| Unauthorized cross-identity sensitive data leakage (CWE-488 “Exposure of Data Element to Wrong Session”) | 20.00% |
| “Confused deputy” vulnerabilities that can be used in a practical attack that accesses resources in a way that bypasses authentication (CWE-918 “Server-Side Request Forgery (SSRF)”) | 15.00% |
Πριν από μερικές ημέρες, η Microsoft ανακοίνωσε ότι πρόσθεσε το Exchange, το SharePoint και το Skype for Business στα προγράμματα bug bounty. Οι ερευνητές ασφαλείας θα μπορούν τώρα να εντοπίζουν και να αναφέρουν ευπάθειες που επηρεάζουν Exchange servers και SharePoint για να κερδίσουν αμοιβές που κυμαίνονται από $500 έως $26.000.
Δείτε επίσης: Microsoft: O Windows Server υποστηρίζει αυτόματες ενημερώσεις .NET
Οι αμοιβές σε ένα πρόγραμμα bug bounty της Microsoft (και άλλων εταιρειών) υπολογίζονται κυρίως με βάση τη σοβαρότητα των αναφερόμενων ευπαθειών.
Περισσότερες λεπτομέρειες σχετικά με τις αμοιβές, τα high-impact scenarios και την ενημερωμένη λίστα των in-scope domains είναι διαθέσιμες στη σελίδα του M365 Bounty Program.
Προγράμματα Bug Bounty
Τα προγράμματα Bug Bounty προσφέρουν χρηματικά ποσά, έτσι ώστε ερευνητές από διάφορα μέρη του κόσμου να ανακαλύψουν και να αναφέρουν ευπάθειες και αδυναμίες που εντοπίζουν στα συστήματα μίας εταιρείας, πριν ανακαλυφθούν και χρησιμοποιηθούν από κακόβουλους χρήστες.
Δείτε επίσης: Microsoft: Το Windows Autopatch θα κυκλοφορήσει σύντομα
Ουσιαστικά, ένα bug bounty είναι μια χρηματική ανταμοιβή που δίνεται στους λεγόμενους «ethical hackers», προκειμένου να χρησιμοποιήσουν τις γνώσεις και τις δεξιότητες τους για να προστατεύσουν έναν οργανισμό. Η ιδέα είναι πολύ έξυπνη, αφού στην πραγματικότητα οι εταιρείες χρησιμοποιούν hackers για να αντιμετωπίσουν άλλους hackers.
Όλο και περισσότερες εταιρείες ξεκινούν τα δικά τους προγράμματα bug bounty για να προστατεύσουν τα προϊόντα τους, αφού οι κακόβουλοι χρήστες και οι εγκληματίες του κυβερνοχώρου αναζητούν συνεχώς ευπάθειες που τους επιτρέπουν να πραγματοποιούν επιθέσεις.
Πηγή: Bleeping Computer