信息來源:安全內(nèi)參
前情回顧·科技巨頭的安全戰(zhàn)略
安全內(nèi)參8月18日消息,微軟官方宣布,在過去12個(gè)月中(2021.7-2022.6),他們通過漏洞獎(jiǎng)勵(lì)計(jì)劃支付了1370萬美元(約9299萬元)獎(jiǎng)金。
作為全球知名科技巨頭,微軟公司目前擁有17個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃,廣泛涵蓋服務(wù)、桌面應(yīng)用程序與操作系統(tǒng)、機(jī)密級(jí)虛擬化解決方案等資產(chǎn),甚至還專門為ElectionGuard開源軟件開發(fā)工具包(SDK)設(shè)置了相應(yīng)項(xiàng)目。
如果能發(fā)現(xiàn)Hyper-V中的遠(yuǎn)程代碼執(zhí)行、信息泄露或拒絕服務(wù)(DoS)之類的嚴(yán)重漏洞,參與微軟漏洞獎(jiǎng)勵(lì)計(jì)劃的安全研究人員最高可以拿到25萬美元的高額獎(jiǎng)金。
事實(shí)上,微軟在2021年7月1日到2022年6月30日期間,發(fā)出的最大單筆獎(jiǎng)金達(dá)到20萬美元,獎(jiǎng)勵(lì)的是Hyper-V虛擬機(jī)管理程序中的一個(gè)嚴(yán)重漏洞。
在這12個(gè)月中,共有超過330名安全研究人員通過微軟漏洞獎(jiǎng)勵(lì)計(jì)劃拿到了獎(jiǎng)金,平均每個(gè)漏洞的獎(jiǎng)金超過12000美元(約8.5萬元)。
圖:參與微軟漏洞獎(jiǎng)勵(lì)計(jì)劃的研究人員地理分布
微軟公司表示,他們正根據(jù)研究人員的反饋改進(jìn)現(xiàn)有漏洞獎(jiǎng)勵(lì)計(jì)劃。今年,該公司還打算進(jìn)一步引入新的研究挑戰(zhàn)和高影響攻擊場(chǎng)景。
新增及更新內(nèi)容將包括Azure SSRF挑戰(zhàn)賽,Edge獎(jiǎng)勵(lì)計(jì)劃納入Android與iOS平臺(tái)版本,將本地Exchange、SharePoint及Skpye for Business納入多個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃,并為Azure、M365、Dynamics 365以及Power Platform等獎(jiǎng)勵(lì)計(jì)劃添加高影響攻擊場(chǎng)景。
微軟公司總結(jié)道,“將這些攻擊場(chǎng)景引入Azure、Dynamics 365、Power Platform以及M365獎(jiǎng)勵(lì)計(jì)劃,將幫助我們把研究重點(diǎn)集中在影響最大的云漏洞上,具體涵蓋Azure Synapse Analytics、Key Vault及Azure Kubernetes服務(wù)等領(lǐng)域?!?
參考資料:securityweek.com