微软安全响应中心团队(MSRC)今天宣布,他们将启动一个新的针对性Windows Bug Bounty程序(恰当地称为“ Windows Bounty Program”),希望在漏洞到达黑市之前就将其捕获。Windows Bug Bounty程序的添加是Microsoft全面努力的一部分,以提高其响应速度和防御安全漏洞的能力。
这个新的Windows Bug Bounty程序将在帮助识别和修补Microsoft产品中的漏洞方面大有帮助,重点在于远程代码执行,权限提升和固有的设计缺陷。
由于Windows是封闭源代码,因此用户针对Windows Bug赏金计划中发现的问题提交修补程序的能力受到限制(可能会带来固有的安全性问题),但是仅提供bug报告本身将大大改善Microsoft的安全性,从而使Microsoft受益 。他们的产品,因为一旦通知问题存在,Microsoft便可以利用这些报告自行调查和修补问题。
微软还正在重塑他们的Hyper-V赏金计划,以大幅提高其最高赔付额,以便更好地与黑市上这些漏洞的价格进行竞争,并更适当地补偿开发人员发现问题的费用。新程序将为具有远程代码执行功能的Hyper-V漏洞利用程序支付最高25万美元的费用, 对于Windows 10漏洞利用程序,则将获得最高200,000美元的费用,这是“漏洞利用技术的新颖和基本进步,普遍绕开了当前的缓解措施”。
除了让第一人发现这些错误之外,微软还向第一人支付相应奖励的10%,以报告在内部发现但尚未发布的任何错误。虽然与全额付款并不完全相同,但在微软已经发现漏洞后报告该漏洞会得到部分付款,这将有助于鼓励人们报告漏洞,因为它将缓解通常被告知该错误的一些失望。您已报告已被发现。
通过扩大漏洞赏金范围的这一举动,微软加入了一大批在过去一年中对其漏洞赏金系统进行了改造的公司,包括Google,苹果,高通,美国空军等。
扩大错误赏金计划的公司名单之长而且不断增长并非偶然。为举报错误的人提供奖励,在鼓励人们向公司举报错误方面大有帮助,以便可以将其修正,而不是试图在黑市上出售。它为白帽黑客提供了一条合法的途径,使他们可以通过分析您的软件来赚钱,帮助他们吸引到您的生态系统并维护他们的兴趣。虽然很难与某些特殊漏洞可以在黑市上竞走的价格竞争,但许多黑客宁愿处理合法的漏洞报告方法,而您可以找到并修复的每个漏洞都有助于防止这些漏洞被用于可能危害用户的不良做法。
尽管漏洞赏金计划已经存在了很长时间并且一直证明了它们的价值,但是由于最近发现了某些广泛的安全漏洞,包括泄露的美国中央情报局的保险柜,最近人们一直在重新关注它们。7,其中包含针对Microsoft Edge,Google Chrome,Mozilla Firefox,Opera,iOS,Android,macOS,Linux和Microsoft Windows以及其他目标的安全漏洞。特别是微软去年受到安全漏洞的严重影响,当时有消息显示,2012年对LinkedIn的黑客入侵(微软去年购买了该黑客)比最初估计的范围要广泛得多。
如果您希望报告Microsoft错误赏金计划的安全错误,可以按照其 协调的漏洞披露 (CVD)策略,通过secure@microsoft.com 向他们发送电子邮件 。如果您对程序本身有任何疑问,可以在https://aka.ms/BugBounty上找到有关Microsoft错误赏金计划的最新信息 。Windows赏金计划有望无限期地继续下去,尽管随着时间的推移,它可能会进行调整,以适应不断变化的安全形势。