Microsoft, Microsoft Defender güvenlik platformunu hedef alan ve ödülleri 500 ile 20.000 ABD Doları arasında değişen yeni bir hata ödül programını duyurdu.
Daha yüksek ödüller mümkün olsa da Microsoft, güvenlik açığının ciddiyetine, etkisine ve gönderim kalitesine göre nihai ödül miktarını belirleme konusunda tamamen kendi takdirine sahiptir.
En yüksek ödül, kritik öneme sahip uzaktan kod yürütme güvenlik açıklarının yüksek kaliteli raporları için geçerlidir.
Şu anda, Microsoft Defender Ödül Programının kapsamı sınırlıdır ve yalnızca Uç Nokta API’leri (Uygulama Programlama Arayüzleri) için Microsoft Defender’a odaklanacaktır. Ancak gelecekte diğer Defender ürünlerini de kapsayacak şekilde genişlemesi bekleniyor.
MSRC Kıdemli Program Yöneticisi Madeline Eckert, “Microsoft Defender Ödül Programı, dünya genelindeki araştırmacıları Defender ürün ve hizmetlerindeki güvenlik açıklarını tespit etmeye ve bunları ekibimizle paylaşmaya davet ediyor” dedi.
“Microsoft’un Bug Bounty programları, Microsoft müşterilerinin güvenliğini sağlamaya yardımcı olmak için küresel güvenlik araştırma topluluğuyla ortaklıklara yatırım yaptığımız birçok yoldan birini temsil ediyor.”
| Güvenlik Açığı Türü | Rapor Kalitesi | Şiddet | |||
| Kritik | Önemli | Ilıman | Düşük | ||
| Uzaktan Kod Yürütme | Yüksek Orta Düşük |
20.000$ 15.000$ 10.000$ |
15.000$ 10.000$ 5.000$ |
0$ | 0$ |
| Ayrıcalığın Yükselmesi | Yüksek Orta Düşük |
8.000$ 4.000$ 3.000$ |
5.000$ 2.000$ $1000 dolar |
0$ | 0$ |
| Bilgi Açıklaması | Yüksek Orta Düşük |
8.000$ 4.000$ 3.000$ |
5.000$ 2.000$ $1000 dolar |
0$ | 0$ |
| Sahtecilik | Yüksek Orta Düşük |
Yok | 3.000$ 1.200$ $500 dolar |
0$ | 0$ |
| Kurcalama | Yüksek Orta Düşük |
Yok | 3.000$ 1.200$ $500 dolar |
0$ | 0$ |
| Hizmet Reddi | Yüksek/Düşük | Kapsam dışında |
Kapsam dahilindeki güvenlik açıklarının tam listesi şunları içerir:
- Siteler arası komut dosyası çalıştırma (XSS)
- Siteler arası istek sahteciliği (CSRF)
- Sunucu tarafı istek sahteciliği (SSRF)
- Kiracılar arası veri tahrifatı veya erişimi
- Güvenli olmayan doğrudan nesne referansları
- Güvenli olmayan seri durumdan çıkarma
- Enjeksiyon açıkları
- Sunucu tarafı kod yürütme
- Önemli güvenlik yanlış yapılandırması (kullanıcıdan kaynaklanmadığında)
- Bilinen güvenlik açıklarına sahip bileşenlerin kullanılması (Kullanılabilirliğin tam kanıtını (PoC) gerektirir. Örneğin, yalnızca güncel olmayan bir kitaplığın tanımlanması ödül almaya hak kazanmaz).
Microsoft’un yönergelerine göre, birden fazla güvenlik araştırmacısının aynı sorunla ilgili birden fazla hata raporu sunması durumunda ödül ilk gönderime verilecektir.
Ayrıca, eğer bir başvuru birden fazla ödül programına uygunsa, araştırmacılar tek bir ödül programından en yüksek tek ödeme ödülünü alacaklardır. Microsoft Bounty Programına ilişkin daha fazla ayrıntıyı bu SSS sayfasında bulabilirsiniz.
Bugün Microsoft ayrıca, 22 hata ödül programında 446 uygun güvenlik açığını bildiren dünya çapındaki 1.147 güvenlik araştırmacısına 58,9 milyon dolar ödül ödediğini açıkladı.
Bir ay önce şirket, yapay zeka odaklı Bing deneyimine odaklanan ve 15.000 dolara varan ödüllerle yeni bir yapay zeka ödül programını duyurdu.
Geçtiğimiz yıl Redmond, hata ödül programına şirket içi Exchange, SharePoint ve Skype Kurumsal’ı ekledi ve Microsoft 365 programı aracılığıyla bildirilen yüksek etkili güvenlik kusurlarına yönelik maksimum ödülleri artırdı.