Microsoft a dévoilé un nouveau programme de bug bounty destiné à la plateforme de sécurité Microsoft Defender, avec des récompenses comprises entre 500 et 20 000 dollars.
Bien que des récompenses plus élevées soient possibles, Microsoft se réserve l’entière discrétion de déterminer le montant final de la récompense en fonction de la gravité de la vulnérabilité, de son impact et de la qualité de la soumission.
La récompense la plus élevée est disponible pour les rapports de haute qualité sur les vulnérabilités d’exécution de code à distance de gravité critique.
Actuellement, le programme Microsoft Defender Bounty a une portée limitée et se concentrera uniquement sur les API Microsoft Defender pour Endpoint (interfaces de programmation d’applications). Cependant, il devrait s’étendre à d’autres produits Defender à l’avenir.
« Le programme Microsoft Defender Bounty invite les chercheurs du monde entier à identifier les vulnérabilités des produits et services Defender et à les partager avec notre équipe », a déclaré Madeline Eckert, responsable principale du programme MSRC.
« Les programmes Bug Bounty de Microsoft représentent l’une des nombreuses façons dont nous investissons dans des partenariats avec la communauté mondiale de recherche en sécurité pour aider à sécuriser les clients Microsoft. »
La liste complète des vulnérabilités de sécurité concernées comprend :
- Scripts intersites (XSS)
- Falsification de requêtes intersites (CSRF)
- Falsification de requêtes côté serveur (SSRF)
- Falsification ou accès aux données entre locataires
- Références d’objet directes non sécurisées
- Désérialisation non sécurisée
- Vulnérabilités d’injection
- Exécution de code côté serveur
- Mauvaise configuration de sécurité importante (lorsqu’elle n’est pas causée par l’utilisateur)
- Utiliser des composants présentant des vulnérabilités connues (nécessite une preuve de concept complète (PoC) d’exploitabilité. Par exemple, la simple identification d’une bibliothèque obsolète ne serait pas admissible à une récompense).
Conformément aux directives de Microsoft, la prime sera attribuée à la soumission initiale si plusieurs chercheurs en sécurité déposent plusieurs rapports de bogues concernant le même problème.
De plus, si une soumission est admissible à plusieurs programmes de primes, les chercheurs recevront la récompense unique la plus élevée d’un seul programme de primes. De plus amples détails concernant le programme Microsoft Bounty sont disponibles sur cette page FAQ.
Aujourd’hui, Microsoft a également révélé avoir versé 58,9 millions de dollars en récompenses à 1 147 chercheurs en sécurité dans le monde entier qui ont signalé 446 vulnérabilités éligibles dans 22 programmes de bug bounty.
Un mois plus tôt, la société avait annoncé un nouveau programme de primes IA axé sur l’expérience Bing basée sur l’IA, avec des récompenses allant jusqu’à 15 000 $.
L’année dernière, Redmond a ajouté Exchange, SharePoint et Skype for Business sur site à son programme de primes aux bogues et a augmenté le nombre maximum de récompenses pour les failles de sécurité à fort impact signalées via son programme Microsoft 365.