O programach bug bounty pisaliśmy wielokrotnie. Dzisiaj pragniemy poinformować, co ogłosił nasz ulubiony Microsoft – w ramach nowego programu jest skłonny zapłacić do 20 000 dolarów za luki zgłoszone w produktach Defender.
Nowy program nagród Microsoft Defender rozpoczyna się od Defender for Endpoint API, ale gigant technologiczny twierdzi, iż z czasem dodane zostaną inne produkty marki Defender.
Uczestniczący w badaniu analitycy mogą zarobić od 500 do 20 000 dolarów za zidentyfikowane błędy, w zależności od wpływu i jakości raportu.
Microsoft ogłosił, iż najwyższe nagrody mogą zostać przyznane za błędy związane ze zdalnym wykonaniem kodu (RCE) o krytycznym znaczeniu. Firma jest gotowa oferować do 8000 dolarów za krytyczne podniesienie uprawnień i ujawnienie informacji, a także do 3000 dolarów za luki w zabezpieczeniach służące do fałszowania i manipulacji.
Aby zakwalifikować się do nagrody za zgłoszony błąd, badacze muszą przedstawić wady objęte zakresem programu, które nie zostały wcześniej zgłoszone, a które można odtworzyć w najnowszej, w pełni załatanej wersji produktu.
Luki w zabezpieczeniach obejmują cross-sitescripting (XSS), cross-siterequestforgery (CSRF), fałszowanie żądań po stronie serwera (SSRF), manipulowanie danymi lub dostęp do danych między dzierżawcami, niezabezpieczone bezpośrednie odniesienia do obiektów i niezabezpieczoną deserializację, wstrzykiwanie i problemy z błędną konfiguracją zabezpieczeń.
Zgłoszenia dotyczące komponentów ze znanymi lukami mają również zawierać kod exploita potwierdzający koncepcję (PoC). Sprawozdania muszą być jasne i zwięzłe oraz powinny mieścić informacje niezbędne do odtworzenia problemu.
Wszystkie raporty należy przesyłać za pośrednictwem portalu badawczego MSRC, wskazując, do jakiego scenariusza o dużym wpływie się kwalifikują. Powinny opisywać również wektor ataku błędu.
„Zakres programu Defender Bounty ogranicza się do luk technicznych w produktach i usługach związanych z Defender. jeżeli podczas prowadzenia badań odkryjesz dane klientów lub nie masz pewności, czy dalsze postępowanie jest bezpieczne, wstrzymaj działania i skontaktuj się z nami” – radzi gigant technologiczny.
Więcej szczegółów na temat programu nagród Microsoft Defender można znaleźć na portalu MSRC.
Warto również spojrzeć na programy bug bounty Microsoftu szerzej. Pod koniec listopada korporacja ogłosiła, iż wypłaci nagrody w wysokości 63 milionów dolarów badaczom bezpieczeństwa uczestniczącym od początku w jej programach nagród za błędy.
Technologiczny gigant uruchomił swoje pierwsze projekty nagród za błędy w 2013 roku, kiedy to przyjmowane były zgłoszenia dotyczące technik wykorzystania systemu Windows 8.1 i błędów w podglądowej wersji przeglądarki Internet Explorer 11.
Początkowo Microsoft otrzymywał mniej niż 100 raportów rocznie, od kilkudziesięciu badaczy. Firma płaciła kilkaset dolarów nagród w skali całego roku.
Obecnie prowadzi 17 programów obejmujących platformy Azure, Edge, Microsoft 365, Windows, Xbox i inne, a za błędy o dużym wpływie w hiperwizorze Hyper-V oferowane są nagrody o wartości do 250 000 USD.
Według Microsoftu tysiące badaczy bezpieczeństwa z 70 państw otrzymuje w tej chwili nagrody. Ale nie tylko badaczy. Studenci, pracownicy naukowi i pełnoetatowi specjaliści ds. cyberbezpieczeństwa również biorą udział w firmowych programach nagradzania za wykryte podatności.
Firma twierdzi, iż z łącznej kwoty 63 milionów dolarów przekazanych od 2013 roku 60 milionów zostało wypłaconych w ciągu ostatnich pięciu lat. Począwszy od 2020 r. Microsoft przekazuje rocznie ponad 13 milionów dolarów około 300 badaczom.
„Dane z programów stanowią kluczową część wyposażenia zespołów ds. produktów i bezpieczeństwa w całej firmie w celu zapewnienia szerszych usprawnień i rozwiązań w zakresie bezpieczeństwa, wykraczających poza jednorazowe poprawki błędów” – twierdzi Microsoft.
Od 2013 roku firma Microsoft kilkakrotnie zmieniała swoje zasady dotyczące nagród za błędy, aby oferować płatności choćby za te, które zostały już wykryte wewnętrznie, oraz aby było jaśniejsze dla badaczy, jakie raporty o lukach w zabezpieczeniach kwalifikują się do programu.
Zwiększono także kwoty nagród, koncentrując się na wadach mających większy wpływ na klientów, a czas instalowania poprawek został skrócony.