Skip to main content

Microsoft startet Sicherheits-Bounty-Programme für Windows 8.1 und IE 11 Vorschau

Microsoft wird Sicherheitsforscher für das Finden bezahlen Schwachstellen in der Preview - Version des Internet Explorer 11 (IE 11) - Browsers zu melden, neue Techniken zu finden, um Exploit - Abschwächungen in Windows 8.1 oder späteren Versionen zu umgehen und neue Ideen zur Abwehr von Exploits zu entwickeln.

Der monetäre Belohnungen werden durch drei Bounty-Programme bezahlt, die das Unternehmen am Mittwoch gestartet hat.

Die Auszahlungen werden zwischen $ 500 und $ 11.000 für Sicherheitslücken in IE 11 Pre liegen View, abhängig von der Art der Schwachstelle und der Qualität des Berichts, und bis zu 100.000 US-Dollar für die Umgehung von Sicherheitslücken in Windows 8.1 und späteren Versionen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

IE 11

Es gibt auch einen Verteidigungsbonus von bis zu $ ​​50.000, den BlueHat Bonus für die Verteidigung. Die Teilnehmer müssen ein technisches Dokument einreichen, in dem eine Idee beschrieben wird, mit der eine Ausnutzungstechnik unter Umgehung der neuesten Windows-Plattform-Maßnahmen blockiert werden könnte. Die Belohnung wird von der Qualität und Einzigartigkeit der Idee abhängen, sagte Microsoft in den Richtlinien des Programms.

Um für das Mitigation Bypass Bounty-Programm in Frage zu kommen, müssen die Einreichungen einen Exploit für eine Remotecodeausführung enthalten ( RCE) Schwachstelle in einer Benutzermodusanwendung, die eine neuartige Methode zur Umgehung von Windows-Plattformstapelbeschädigung, Heapbeschädigung und Minderung von Codeausführung verwendet.

Die Regeln

Diese Maßnahmen werden in einem Microsoft-Whitepaper namens Schadensbegrenzende Software-Schwachstellen behandelt B. DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization).

Die neue Auswertungsmethode darf keine sein, die Microsoft bereits kennt oder die in früheren Arbeiten beschrieben wurde, und die Einreichung muss auch ein White Paper enthalten, das erklärt Die Methode.

Die Programme zur Risikominderung und Verteidigung werden ab der Windows 8.1 Preview-Version, die voraussichtlich diesen Monat veröffentlicht wird, fortlaufend ausgeführt auf der Build Developer Conference von Microsoft.

Allerdings wird das IE 11 Preview Bug Bounty Programm nur für 30 Tage zwischen dem 26. Juni und 26. Juli laufen. Das Ziel dieses speziellen Programms ist es, Sicherheitslücken zum bestmöglichen Zeitpunkt zu finden und zu patchen, während der Beta-Phase, sagte Mike Reavey, der Senior Director des Microsoft Security Response Center (MSRC).

Andere Bonusprogramme

Google und Mozilla haben auch Bug Bounty-Programme für ihre jeweiligen Browser, Chrome und Firefox, aber diese Programme laufen seit mehreren Jahren fortlaufend.

Das Programm IE 11 belohnt einzelne Schwachstellenberichte mit unterschiedlichen Auszahlungen, die von der Kritikalität des gemeldeten Problems und der Qualität des Berichts abhängen.

Zum Beispiel Ferncode Ausführungsschwachstellen können in die Auszahlungskategorien Tier 0, Tier 1 oder Tier 2 fallen. Ein Tier-1-Bericht erhält eine maximale Auszahlung von 11.000 US-Dollar und muss von einem Proof-of-Concept und einem funktionierenden Exploit begleitet sein, während ein Tier-0-Bericht nach Ermessen von Microsoft mit über 11.000 US-Dollar belohnt werden kann und möglicherweise eine Sandbox-Escape.

Wichtige oder schwerwiegende Design-Level-Schwachstellen, Sicherheitslücken mit Auswirkungen auf die Privatsphäre und Sandbox-Escape-Schwachstellen fallen in die Tier-2-Kategorie und werden mit mindestens $ 1.100 belohnt. ASLR-Schwachstellen in der Offenlegung von Informationen fallen in die Tier-3-Kategorie und werden mit mindestens $ 500 belohnt.

Microsoft hat bereits im Rahmen seines BlueHat-Preiswettbewerbs für Verteidigungstechniken bezahlt und hat auch Forscher beauftragt, ihre Produkte intern zu testen. Dies ist jedoch das erste öffentliche Bug Bounty Programm.

Microsoft habe immer wieder Sicherheitsberichte von externen Forschern erhalten, sagt Reavey. Das Unternehmen bemerkte jedoch auch eine Marktverschiebung, in der viele Berichte von Forschern über Schwachstellenbroker stammen, die Schwachstelleninformationen über ihre eigenen Programme kaufen.

Beta-Perioden sind Prime

Das ist großartig, denn das sind qualitativ hochwertige Berichte , aber es gibt eine Marktlücke, die die neu angekündigten Bounty-Programme von Microsoft versuchen würden zu füllen, sagte Reavey. "Wir sehen nicht viele Broker, die für Umgehungsentgelte bezahlen, weil diese Top-Dollars sind, und wir sehen auch nicht, dass Broker für Sicherheitslücken bezahlen, die vor der Veröffentlichung eines Produkts gefunden wurden, noch während der Betaphase."

Die Betaversion Testzeitraum ist der optimale Zeitpunkt, um diese Informationen zu erhalten, da es dem Entwickler ermöglicht, ein sichereres Endprodukt zu veröffentlichen und so viele Probleme wie möglich zu beheben, bevor sie sich auf die Kunden auswirken können.

Was die Umgehung von Minderung betrifft, würde Microsoft dies tun traditionell erhalten diejenigen, nachdem sie gefunden werden, in Angriffen oder einmal im Jahr oder so als Ergebnis von Wettbewerben auf Sicherheitskonferenzen laufen, sagte Reavey. "Wir wollen sicherstellen, dass wir das ganze Jahr so ​​früh wie möglich erhalten, damit wir die Kunden schützen können."

Aktualisiert um 12:10 Uhr. PT, um das Datum zu korrigieren, an dem das Bounty-Programm endet.