Ένα νέο Microsoft Defender Bounty Program ξεκίνησε η Microsoft. Στα πλαίσια αυτού, προσφέρει οικονομικά κίνητρα που κυμαίνονται από 500 έως 20.000 δολάρια για τα κενά ασφαλεία που ανακαλύπτουν οι χρήστες.
Το τελικό ποσό καθορίζεται με βάση τη σοβαρότητα και τον αντίκτυπο της ευπάθειας και την ποιότητα υποβολής. Η υψηλότερη ανταμοιβή είναι διαθέσιμη για αναφορές υψηλής ποιότητας σχετικά με ευπάθειες που επιτρέπουν εκτέλεση κώδικα απομακρυσμένα και είναι πολύ σοβαρές (κρίσιμες).
«Το πρόγραμμα Microsoft Defender Bounty προσκαλεί ερευνητές από όλο τον κόσμο να εντοπίσουν ευπάθειες στα προϊόντα και τις υπηρεσίες του Defender και να τις μοιραστούν με την ομάδα μας», δήλωσε η Ανώτερη Διευθύντρια Προγράμματος του MSRC, Madeline Eckert.
«Τα προγράμματα Bug Bounty της Microsoft αντιπροσωπεύουν έναν από τους πολλούς τρόπους με τους οποίους επενδύουμε σε συνεργασίες με την παγκόσμια ερευνητική κοινότητα ασφάλειας για να βοηθήσουμε στην ασφάλεια των πελατών της Microsoft».
Η πλήρης λίστα των ευπαθειών που πρέπει να βρουν οι ερευνητές:
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Server-side request forgery (SSRF)
- Cross-tenant data tampering ή access
- Insecure direct object references
- Insecure deserialization
- Injection vulnerabilities
- Server-side code execution
- Σημαντικό security misconfiguration (όταν δεν προκαλείται από το χρήστη)
- Χρήση components με γνωστές ευπάθειες (απαιτεί full proof of concept (PoC) για εκμετάλλευση. Για παράδειγμα, η απλή αναγνώριση μιας out-of-date βιβλιοθήκης δεν πληροί τις προϋποθέσεις για βραβείο).
Σε περίπτωση που πολλοί ερευνητές αναφέρουν το ίδιο σφάλμα, η ανταμοιβή θα πηγαίνει σε αυτόν που έκανε την υποβολή πρώτος.
