Die Microsoft Bug Bounty-Preise werden für Sicherheitsforscher, die Sicherheitslücken in Office 365 und dem Microsoft-Kontodienst entdecken, um bis zu 30 % erhöht.
„Durch diese neuen szenariobasierten Kopfgeldprämien ermutigen wir Forscher, ihre Forschung auf Schwachstellen zu konzentrieren, die die größten potenziellen Auswirkungen auf die Privatsphäre und Sicherheit der Kunden haben“, heißt es in einer Ankündigung des Microsoft Security Response Center (MSRC).
Was sind Microsoft Bug Bounty-Preise?
Die Prämien steigen um bis zu 30 % für berechtigte Szenario-Einreichungen und können bis zu 26.000 US-Dollar pro gemeldeter Schwachstelle erreichen. Microsoft hat darauf hingewiesen, dass Fehler, die nicht als „hohe Priorität“ eingestuft werden, weiterhin für Prämien im Rahmen des General Awards-Programms berechtigt sind.
„Wenn sich eine gemeldete Schwachstelle nicht für eine Prämie im Rahmen der High-Impact-Szenarien qualifiziert, kann sie im Rahmen der allgemeinen Prämien für eine Prämie in Frage kommen“, so das Unternehmen. Höhere Auszeichnungen sind jedoch nach Ermessen von Microsoft möglich, basierend auf dem Schweregrad und den Auswirkungen der Sicherheitsanfälligkeit und der Qualität der Einreichung.
Prämienerhöhungen
- Remotecodeausführung durch nicht vertrauenswürdige Eingabe (CWE-94 „Unsachgemäße Kontrolle der Codegenerierung („Code Injection“)“) um 30,00 %
- Remote-Codeausführung durch nicht vertrauenswürdige Eingabe (CWE-502 „Deserialisierung nicht vertrauenswürdiger Daten“) um 30,00 %
- Unbefugter mandanten- und identitätsübergreifender Verlust sensibler Daten1 (CWE-200 „Exposure of Sensitive Information to an Unauthorized Actor“) um 20,00 %
- Unerlaubter identitätsübergreifender Datenverlust (CWE-488 „Exposure of Data Element to Wrong Session“) um 20,00 %
- „Confused Deputy“-Schwachstellen, die in einem praktischen Angriff verwendet werden können, der auf Ressourcen auf eine Weise zugreift, die die Authentifizierung umgeht (CWE-918 „Server-Side Request Forgery (SSRF)“) um 15,00 %
Ganz nebenbei: Auch als Nicht-Sicherheitsforscher kann man bei Microsoft Geld verdienen!
Microsoft gab außerdem bekannt, dass es seine Bug-Bounty-Programme auf Exchange, SharePoint und Skype for Business ausgeweitet hat. Sicherheitsforscher können jetzt Schwachstellen in Exchange- und SharePoint-Servern entdecken und melden, um Belohnungen zwischen 500 und 26.000 US-Dollar zu verdienen. Basierend auf Schweregrad-Multiplikatoren (zwischen 15 und 30 %) können Kopfgeldjäger höhere Auszahlungen für Schwachstellen erhalten.
Das M365 Bounty-Programm Seite enthält weitere Informationen zu Prämienbeträgen, Situationen mit hoher Auswirkung und der Liste der neuen In-Scope-Domains.
