Microsoft, Defender ürünlerindeki güvenlik açıkları için 20.000 ABD dolarına kadar bounty programı açıkladı

Microsoft, araştırmacıları Defender ürünlerindeki güvenlik açıklarına odaklanan yeni hata ödül programına davet ediyor.

Microsoft Salı günü yaptığı açıklamada, Defender ürünleri için yeni bir hata ödül programının bir parçası olarak bildirilen güvenlik açıkları için 20.000 dolara kadar ödeme yapmaya istekli olduğunu duyurdu.

Yeni Microsoft Defender Ödül Programı, Uç Nokta için Defender API'leri ile başlıyor, ancak teknoloji devi, Defender markasındaki diğer ürünlerin de zamanla ekleneceğini söylüyor.

Şirket, "Microsoft Defender Ödül Programı, dünyanın dört bir yanındaki araştırmacıları Defender ürün ve hizmetlerindeki güvenlik açıklarını belirlemeye ve bunları ekibimizle paylaşmaya davet ediyor" diyor.

Katılan araştırmacılar, etki ve rapor kalitesine bağlı olarak, belirlenen kusurlar için 500 ila 20.000 ABD Doları arasında kazanabilirler.

Microsoft, en yüksek ödüllerin kritik önem derecesine sahip uzaktan kod yürütme (RCE) hataları için verilebileceğini söylüyor. Şirket, kritik ayrıcalık yükselmesi ve bilgi ifşası sorunları için 8.000 ABD Dolarına kadar dağıtmaya isteklidir ve kimlik sahtekarlığı ve kurcalama güvenlik açıkları için 3.000 ABD Dolarına kadar teklif verebilir.

Bir hata ödül ödülüne hak kazanmak için, araştırmacıların program kapsamında olan, daha önce bildirilmemiş ve ürünün en son, tamamen yamalı sürümünde yeniden üretilebilen kusurları bildirmeleri gerekir.

Kapsam içi güvenlik açıkları arasında siteler arası betik çalıştırma (XSS), siteler arası istek sahteciliği (CSRF), sunucu tarafı istek sahteciliği (SSRF), kiracılar arası veri kurcalama veya erişimi, güvenli olmayan doğrudan nesne başvuruları ve güvenli olmayan seri durumdan çıkarma, ekleme, sunucu tarafı kod yürütme ve güvenlik yanlış yapılandırma sorunları yer alır.

Teknoloji devi, bilinen güvenlik açıklarına sahip bileşenleri kapsayan raporların, kavram kanıtı (PoC) istismar kodunu da içermesi gerektiğini söylüyor.

Raporların açık ve özlü olması ve sorunu yeniden oluşturmak için gerekli bilgileri içermesi gerekir.

Microsoft, tüm raporların MSRC Araştırmacı Portalı aracılığıyla sunulması gerektiğini, hangi yüksek etkili senaryoya uygun olduklarını belirtmesi ve hata için saldırı vektörünü tanımlaması gerektiğini söylüyor.

"Defender Bounty programının kapsamı, Defender ile ilgili ürün ve hizmetlerdeki teknik güvenlik açıklarıyla sınırlıdır. Araştırmanızı yaparken müşteri verilerini keşfederseniz veya devam etmenin güvenli olup olmadığından emin değilseniz, lütfen durun ve bizimle iletişime geçin" diyor teknoloji devi.