A Microsoft aumentou os prêmios máximos para falhas de segurança de alto impacto relatadas por meio dos programas de recompensa de bugs do Microsoft 365 e do Dynamics 365 e Power Platform. Com a expansão desses dois programas, os pesquisadores de segurança que relatam as vulnerabilidades do Office 365 e do serviço de conta da Microsoft podem ganhar até 30% para cenários específicos. Assim, a Microsoft aumenta prêmios por bugs de alto impacto do Microsoft 365.
“Por meio desses novos prêmios de recompensa baseados em cenários, incentivamos os pesquisadores a concentrarem suas pesquisas nas vulnerabilidades que têm o maior impacto potencial na privacidade e segurança do cliente”, revelou um anúncio do Microsoft Security Response Center (MSRC).
“Os prêmios aumentam em até 30% (US$ 26.000 no total) para envios de cenários qualificados.”
A Microsoft acrescentou que falhas que não são consideradas de alto impacto ainda podem ser elegíveis para recompensas no programa General Awards.
Eles também podem receber recompensas mais altas com base na gravidade da vulnerabilidade relatada e na qualidade dos envios.
Se uma vulnerabilidade relatada não se qualificar para um prêmio de recompensa nos Cenários de Alto Impacto, pode ser elegível para um prêmio de recompensa nos Prêmios Gerais, diz a empresa. Prêmios mais altos são possíveis, a critério exclusivo da Microsoft, com base na gravidade e impacto da vulnerabilidade e na qualidade do envio.
Microsoft aumenta prêmios por bugs de alto impacto do Microsoft 365
Cenário | Prêmio Máximo |
Execução remota de código através de entrada não confiável (CWE-94 “Controle Impróprio de Geração de Código (‘Injeção de Código’)”) | 30,00% |
Execução remota de código por meio de entrada não confiável (CWE-502 “Desserialização de dados não confiáveis”) | 30,00% |
Vazamento não autorizado de dados confidenciais entre locatários e identidades cruzadas1 (CWE-200 “Exposição de informações confidenciais a um agente não autorizado”) | 20,00% |
Vazamento não autorizado de dados confidenciais de identidade cruzada (CWE-488 “Exposição de Elemento de Dados a Sessão Incorreta”) | 20,00% |
Vulnerabilidades de “deputado confuso” que podem ser usadas em um ataque prático que acessa recursos de uma maneira que ignora a autenticação (CWE-918 “Server-Side Request Forgery (SSRF)”) | 15,00% |
Há uma semana, a Microsoft anunciou que finalmente adicionou o Exchange, o SharePoint e o Skype for Business locais aos seus programas de recompensas de bugs.
Os pesquisadores de segurança agora podem encontrar e relatar vulnerabilidades que afetam servidores Exchange e SharePoint locais para ganhar recompensas que variam de US$ 500 a US$ 26.000.
A equipe do MSRC disse que os pesquisadores de caçadores de recompensas poderiam obter recompensas mais altas com base nos multiplicadores de gravidade (entre 15 e 30%) decorrentes do impacto das vulnerabilidades.
Mais detalhes sobre os valores das recompensas, os cenários de alto impacto e a lista atualizada de domínios no escopo estão disponíveis na página do Programa de Recompensas M365.