Αν είστε παθιασμένοι με το κυνήγι σφαλμάτων/ευπάθειας, αυτό το πρόγραμμα μπορεί να είναι για εσάς.
Η Microsoft ανακοίνωσε την εισαγωγή του προγράμματος Microsoft Defender Bounty στον τεχνολογικό γίγαντα που εδρεύει στο Redmond τελευταία ανάρτηση ιστολογίου ασφαλείας. Το νέο πρόγραμμα θα επιβραβεύει κάθε κατάλληλο άτομο που εντοπίζει τρωτά σημεία στα προϊόντα της Microsoft.
Είναι ευρέως γνωστό ότι η Microsoft δέχεται μόνιμες επιθέσεις από παράγοντες απειλών και τα προϊόντα της συχνά γίνονται αντικείμενο κυβερνοεπιθέσεων.
Για παράδειγμα, νωρίτερα φέτος, οι μελέτες έχουν δείξει ότι τελειώνει Το 80% των λογαριασμών Microsoft 365 παραβιάστηκε το 2022, με το 60% από αυτά να έχει χακαριστεί με επιτυχία. Αυτό που είναι ακόμη πιο ανησυχητικό είναι το γεγονός ότι μια άλλη μελέτη έδειξε ότι το Microsoft Teams είναι επιρρεπής σε σύγχρονο κακόβουλο λογισμικό.
Έχοντας αυτό υπόψη, τα σχέδια της Microsoft με το νέο πρόγραμμα Defender Bounty είναι να προσφέρει ανταμοιβές έως και 20.000 $ σε όποιον καταφέρει να βρει κρίσιμα τρωτά σημεία.
Το πρόγραμμα Microsoft Defender Bounty προσκαλεί ερευνητές σε όλο τον κόσμο να εντοπίσουν τρωτά σημεία στα προϊόντα και τις υπηρεσίες του Defender και να τα μοιραστούν με την ομάδα μας. Το πρόγραμμα Defender θα ξεκινήσει με περιορισμένο εύρος, εστιάζοντας στα API του Microsoft Defender για Endpoint και θα επεκταθεί για να συμπεριλάβει άλλα προϊόντα στην επωνυμία Defender με την πάροδο του χρόνου.
Microsoft
Ωστόσο, πριν εγγραφείτε, υπάρχουν ορισμένα σημεία που πρέπει να γνωρίζετε, συμπεριλαμβανομένων ορισμένων που διασφαλίζουν ότι οι υποβολές σας είναι κατάλληλες για το πρόγραμμα. Ακολουθήστε καθώς θα τα αποκαλύψουμε όλα.
Πρόγραμμα Microsoft Defender Bounty: Ποιες είναι οι επιλέξιμες υποβολές;
Για να ξεκινήσετε και να εγγραφείτε για να συμμετάσχετε στο πρόγραμμα, πρέπει να είστε ενεργός ενοικίαση του Microsoft Defender for Endpoint, την οποία ο τεχνολογικός γίγαντας με έδρα το Ρέντμοντ είναι πολύ χαρούμενος να δοκιμάσει 3 μήνες εδώ.
Λαμβάνοντας υπόψη αυτό, η ειδική σελίδα της Microsoft της πλατφόρμας περιλαμβάνει μια λίστα με όλες τις επιλέξιμες υποβολές που θα ανταμειφθούν. Οι ανταμοιβές θα διαφέρουν ανάλογα με τη σοβαρότητα της ευπάθειας που βρέθηκε.
Ακολουθούν όλα τα σημεία που καθιστούν μια υποβολή κατάλληλη για ανταμοιβές:
- Προσδιορίστε μια ευπάθεια σε προϊόντα Defender εντός του πεδίου που αναφέρονται στη λίστα, η οποία δεν είχε αναφερθεί προηγουμένως ή δεν ήταν γνωστή από τη Microsoft.
- Αυτή η ευπάθεια πρέπει να είναι κρίσιμης ή σημαντικής σοβαρότητας και να μπορεί να αναπαραχθεί στην τελευταία, πλήρως ενημερωμένη έκδοση του προϊόντος ή της υπηρεσίας.
- Συμπεριλάβετε σαφή, συνοπτικά και αναπαραγώγιμα βήματα, είτε γραπτώς είτε σε μορφή βίντεο.
- Παρέχουμε στους μηχανικούς μας τις απαραίτητες πληροφορίες για γρήγορη αναπαραγωγή, κατανόηση και επίλυση του προβλήματος.
Η Microsoft θα ζητήσει επίσης από τους ερευνητές πρόσθετες πληροφορίες, όπως:
- Υποβολή μέσω του MSRC Researcher Portal.
- Υποδείξτε στην υποβολή της ευπάθειας για ποιο σενάριο υψηλού αντίκτυπου (εάν υπάρχει) η αναφορά σας πληροί τις προϋποθέσεις.
- Περιγράψτε το διάνυσμα επίθεσης για την ευπάθεια.
Οι ανταμοιβές κυμαίνονται από $500 έως $20.000 ανάλογα με τη σοβαρότητα της ευπάθειας, αλλά μπορείτε να δείτε όλες τις λεπτομέρειες σχετικά με αυτές παρακάτω.
| Τύπος ευπάθειας | Ποιότητα αναφοράς | Αυστηρότητα | |||
|---|---|---|---|---|---|
| Κρίσιμος | Σπουδαίος | Μέτριος | Χαμηλός | ||
| Απομακρυσμένη εκτέλεση κώδικα | Υψηλός Μεσαίο Χαμηλός |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| Ανύψωση προνομίου | Υψηλός Μεσαίο Χαμηλός |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Αποκάλυψη πληροφοριών | Υψηλός Μεσαίο Χαμηλός |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Παραπλάνηση | Υψηλός Μεσαίο Χαμηλός |
N/A | $3,000 $1,200 $500 |
$0 | $0 |
| Παραποίηση | Υψηλός Μεσαίο Χαμηλός |
N/A | $3,000 $1,200 $500 |
$0 | $0 |
| Άρνηση παροχής υπηρεσιών | Υψηλή χαμηλή | Εκτός του πεδίου εφαρμογής |
Εάν ενδιαφέρεστε για το νέο πρόγραμμα, μπορείτε να διαβάσετε περισσότερα για αυτό στο την αφιερωμένη σελίδα του, συμπεριλαμβανομένων περισσότερων τεχνικών λεπτομερειών σχετικά με τη φύση των επιλέξιμων υποβολών.
