Уязвимостите са новият петрол: Microsoft е готова да плаща огромни суми за откриването им
Microsoft разгласи огромни промени в bug bounty програмата си за награди за уязвимости в.NET, като доста разшири обсега ѝ и усили премиите за откритите уязвимости. Сега за сериозни уязвимости в.NET и ASP.NET Core, в това число в съставените елементи Blazor и Aspire можете да получите до 40 000 $. Компанията акцентира, че новата конструкция има за цел да регистрира по-точно техническата трудност на намирането и потреблението на такива уязвимости.
Както изяснява Маделин Екерт, старши управител на стратегиите за хонорари за разкриване на уязвимости в Microsoft, актуализациите обгръщат освен уголемен лист с уязвимости, които могат да бъдат възнаградени, само че и опростена система за оценка на премиите.
Фокусът е върху насърчаването на търсенето на комплицирани и редки уязвимости – изключително в сюжети, при които е допустимо отдалечено да се поеме надзор над системата или да се заобиколят сериозни защитни механизми.
Актуализираната версия на програмата предлага оптималната премия от 40 000 $ за уязвимости, които разрешават случайно осъществяване на код или повишение на привилегиите. Успешното разкриване на заобикаляне на сериозни защитни функционалности към този момент се възнаграждава с до 30 000 $, а за уязвимости, водещи до отвод на услуга на отдалечено равнище – с до 20 000 $.
Освен това Microsoft разшири техническите граници на програмата. Сега тя обгръща всички поддържани версии на.NET и ASP.NET, в това число обвързваните с тях технологии като F#. Обхванати са и шаблоните, доставяни с.NET и ASP.NET Core, както и съставените елементи, свързани с GitHub Actions в формалните складове на платформата. Това включва версии на ASP.NET Core, предопределени за.NET Framework.
Има и обособен акцент върху обвързваните начинания. По-рано тази година Microsoft усили премиите до 30 000 $ за уязвимости, свързани с изкуствения разсъдък в своите артикули Power Platform и Dynamics 365. През февруари компанията вкара двоен коефициент на погашение за неточности в Microsoft Copilot и стартира да възнаграждава даже неточности със междинен риск в тази област.
На Ignite 2024 Microsoft започва Zero Day Quest – хакерско съревнование, концентрирано върху откриването на уязвимости в облачни платформи и платформи за изкуствен интелект. Събитието имаше награден фонд от 4 милиона $.
Всички тези стъпки се извършват като част от тактиката Secure Future Initiative – огромен проект за преосмисляне на методите към осведомителната сигурност, стартирал през есента на 2023 година. Програмата беше провокирана от рецензиите на самостоятелния Съвет за обзор на киберсигурността към Министерството на вътрешната сигурност на Съединени американски щати, който уточни систематични пропуски в корпоративната просвета на сигурност на Microsoft и прикани за радикална смяна.
