Корпорація Майкрософт: ми збільшуємо винагороди за помилки за ці вагомі недоліки безпеки

Корпорація Майкрософт оголосила про нові нагороди «на основі сценаріїв» для своєї програми винагороди Dynamics and Power Platform і програми премії Microsoft 365.

Microsoft каже, що нагороди, засновані на сценаріях, призначені для заохочення дослідників зосередити свою роботу на «вразливостях, які мають найбільший потенційний вплив на конфіденційність і безпеку клієнтів».

The нові нагороди за сценарієм перевищують існуючі загальні нагороди за помилки безпеки, такі як дистанційне виконання коду та підвищення привілеїв у продуктах, і складають до 26 000 доларів США, які пропонуються в нових нагородах.

ПОБАЧИТИ: Безпека Windows 11: як захистити ваші домашні та невеликі комп’ютери

Нова винагорода на основі сценарію для Dynamics 365 і Power Platform — це помилка розкриття інформації між клієнтами, максимальна винагорода якої становить 20 000 доларів США. Microsoft має виправлено подібні помилки, що впливають на деякі API Azure і інше подібна помилка розкриття інформації між клієнтами вплинула на службу автоматизації Azure у березні.

Microsoft також додає бонуси в розмірі 15-30% на додаток до загальної премії Microsoft 365 для Office 365 продуктів і сторінки облікового запису Microsoft для Outlook, Teams, SharePoint Online, OneDrive, Skype і більше.

Найвища загальна винагорода Microsoft 365 становить 20 000 доларів США за критичну помилку віддаленого виконання коду.

Нові сценарії високого впливу надають бонус у 30% за віддалене виконання коду (RCE) через ненадійний вхід (CWE-94 «Неналежний контроль генерації коду» («Впровадження коду»)); і 30% для RCE через ненадійний вхід (CWE-502 «Десеріалізація ненадійних даних»).

Є також 20% винагороди за неавторизований витік конфіденційних даних між клієнтами та між ідентифікаційними даними для обох (CWE-200 «Розкриття конфіденційної інформації неавторизованій особі») та (CWE-488 «Вплив елемента даних на неправильний сеанс»).

Нарешті, є винагорода 15% за вразливості «Confused Deputy», які можна використати в практичній атаці, яка отримує доступ до ресурсів в обхід автентифікації (CWE-918 «Підробка запитів на стороні сервера (SSRF)»).

Microsoft запропонувала подібні нагороди на основі сценаріїв за винагороду за помилку Teams минулого року на вершині загальних нагород у цій програмі. у грудні, він також додав шість нагород на основі сценарію до 60 000 доларів США за серйозні помилки до винагороди Azure.