信息來源:安全內(nèi)參
前情回顧·科技巨頭的安全戰(zhàn)略
安全內(nèi)參8月18日消息��,微軟官方宣布���,在過去12個(gè)月中(2021.7-2022.6),他們通過漏洞獎(jiǎng)勵(lì)計(jì)劃支付了1370萬美元(約9299萬元)獎(jiǎng)金����。
作為全球知名科技巨頭,微軟公司目前擁有17個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃���,廣泛涵蓋服務(wù)��、桌面應(yīng)用程序與操作系統(tǒng)�����、機(jī)密級(jí)虛擬化解決方案等資產(chǎn)�,甚至還專門為ElectionGuard開源軟件開發(fā)工具包(SDK)設(shè)置了相應(yīng)項(xiàng)目。
如果能發(fā)現(xiàn)Hyper-V中的遠(yuǎn)程代碼執(zhí)行���、信息泄露或拒絕服務(wù)(DoS)之類的嚴(yán)重漏洞����,參與微軟漏洞獎(jiǎng)勵(lì)計(jì)劃的安全研究人員最高可以拿到25萬美元的高額獎(jiǎng)金����。
事實(shí)上,微軟在2021年7月1日到2022年6月30日期間�,發(fā)出的最大單筆獎(jiǎng)金達(dá)到20萬美元,獎(jiǎng)勵(lì)的是Hyper-V虛擬機(jī)管理程序中的一個(gè)嚴(yán)重漏洞��。
在這12個(gè)月中���,共有超過330名安全研究人員通過微軟漏洞獎(jiǎng)勵(lì)計(jì)劃拿到了獎(jiǎng)金,平均每個(gè)漏洞的獎(jiǎng)金超過12000美元(約8.5萬元)�。
圖:參與微軟漏洞獎(jiǎng)勵(lì)計(jì)劃的研究人員地理分布
微軟公司表示,他們正根據(jù)研究人員的反饋改進(jìn)現(xiàn)有漏洞獎(jiǎng)勵(lì)計(jì)劃��。今年����,該公司還打算進(jìn)一步引入新的研究挑戰(zhàn)和高影響攻擊場(chǎng)景�。
新增及更新內(nèi)容將包括Azure SSRF挑戰(zhàn)賽�,Edge獎(jiǎng)勵(lì)計(jì)劃納入Android與iOS平臺(tái)版本,將本地Exchange���、SharePoint及Skpye for Business納入多個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃�����,并為Azure��、M365�、Dynamics 365以及Power Platform等獎(jiǎng)勵(lì)計(jì)劃添加高影響攻擊場(chǎng)景����。
微軟公司總結(jié)道,“將這些攻擊場(chǎng)景引入Azure�、Dynamics 365、Power Platform以及M365獎(jiǎng)勵(lì)計(jì)劃�,將幫助我們把研究重點(diǎn)集中在影響最大的云漏洞上,具體涵蓋Azure Synapse Analytics��、Key Vault及Azure Kubernetes服務(wù)等領(lǐng)域���?����!?
參考資料:securityweek.com
