A Microsoft anunciou na terça-feira que está disposta a pagar até US$ 20.000 por vulnerabilidades relatadas como parte de um novo programa de recompensas por bugs para produtos Defender.
O novo programa Microsoft Defender Bounty começa com APIs Defender for Endpoint, mas a gigante da tecnologia diz que outros produtos da marca Defender serão adicionados com o tempo.
“O Microsoft Defender Bounty Program convida pesquisadores de todo o mundo para identificar vulnerabilidades em produtos e serviços Defender e compartilhá-las com nossa equipe”, afirma a empresa.
Os pesquisadores participantes podem ganhar entre US$ 500 e US$ 20.000 pelas falhas identificadas, dependendo do impacto e da qualidade do relatório.
As recompensas mais altas, diz a Microsoft, podem ser concedidas para bugs de execução remota de código (RCE) de gravidade crítica. A empresa está disposta a distribuir até US$ 8.000 para questões críticas de elevação de privilégios e divulgação de informações, e pode oferecer até US$ 3.000 para falsificação e adulteração de vulnerabilidades.
Para se qualificar para uma recompensa de bug bounty, os pesquisadores precisam relatar falhas que estão dentro do escopo do programa, que não foram relatadas anteriormente e que podem ser reproduzidas na versão mais recente e totalmente corrigida do produto.
As vulnerabilidades no escopo incluem script entre sites (XSS), falsificação de solicitação entre sites (CSRF), falsificação de solicitação no lado do servidor (SSRF), adulteração ou acesso de dados entre locatários, referências diretas a objetos inseguras e desserialização, injeção e servidor inseguras. execução de código lateral e problemas de configuração incorreta de segurança.
Os relatórios que cobrem componentes com vulnerabilidades conhecidas também devem incluir código de exploração de prova de conceito (PoC), diz a gigante da tecnologia.
Os relatórios precisam ser claros e concisos e devem incluir as informações necessárias para reproduzir o assunto.
Todos os relatórios, diz a Microsoft, devem ser enviados através do Portal do Pesquisador MSRC, indicar para qual cenário de alto impacto eles se qualificam e devem descrever o vetor de ataque do bug.
“O escopo do programa Defender Bounty é limitado a vulnerabilidades técnicas em produtos e serviços relacionados ao Defender. Se você descobrir dados de clientes enquanto conduz sua pesquisa ou não tiver certeza se é seguro prosseguir, pare e entre em contato conosco”, observa o gigante da tecnologia.
Mais detalhes sobre o Programa Microsoft Defender Bounty podem ser encontrados em o portal MSRC.