El martes 17 de julioth, Microsoft anunció su Programa de recompensas de identidad que otorga una recompensa premium a los investigadores y cazadores de errores que descubren vulnerabilidades relacionadas con la seguridad en sus servicios de identidad.
Según Phillip Misner , Gerente Principal del Grupo de Seguridad del Centro de Respuesta de Seguridad de Microsoft, Microsoft ha invertido fuertemente en la privacidad y seguridad de sus soluciones de identidad empresarial y para el consumidor y se ha enfocado en la mejora constante de la autenticación sólida, las sesiones de inicio de sesión seguras, la seguridad API y las tareas relacionadas con la infraestructura crítica. Comentó: “Hemos invertido mucho en la creación, implementación y mejora de especificaciones relacionadas con la identidad que fomentan la autenticación sólida, el inicio de sesión seguro, las sesiones, la seguridad de API y otras tareas de infraestructura críticas, como parte de la comunidad de expertos en estándares dentro de organismos de estándares oficiales como IETF, W3C o la Fundación OpenID '.
Este programa se ha lanzado para garantizar que esta tecnología crítica siga siendo lo más segura posible para los usuarios. Ofrece a los investigadores de errores y seguridad la posibilidad de revelar las vulnerabilidades en los servicios de identidad a Microsoft de forma privada. Esto permitirá a la empresa resolver el problema antes de la publicación de sus detalles técnicos.
Detalles de pago
Los pagos para este programa de recompensas oscilarán entre $ 500 y $ 100,000, lo que depende del impacto del error que hayan encontrado los investigadores.
| Presentación de alta calidad | Envío de calidad de referencia | Presentación incompleta | |
| Omisión de autenticación significativa | Hasta $ 40,000 | Hasta $ 10,000 | Desde $ 1,000 |
| Omisión de autenticación multifactor | Hasta $ 100,000 | Hasta $ 50,000 | Desde $ 1,000 |
| Vulnerabilidades de diseño de estándares | Hasta $ 100,000 | Hasta $ 30,000 | Desde $ 2,500 |
| Vulnerabilidades de implementación basadas en estándares | Hasta $ 75,000 | Hasta $ 25,000 | Desde $ 2,500 |
| Secuencias de comandos entre sitios (XSS) | Hasta $ 10,000 | Hasta $ 4,000 | Desde $ 1,000 |
| Falsificación de solicitudes entre sitios (CSRF) | Hasta $ 20,000 | Hasta $ 5,000 | Desde $ 500 |
| Defecto de autorización | Hasta $ 8,000 | Hasta $ 4,000 | Desde $ 500 |
Criterios para una presentación elegible
Las presentaciones de vulnerabilidad enviadas a Microsoft deben cumplir con los criterios dados :
- Identifique una vulnerabilidad crítica o importante original y no informada previamente que se reproduzca en nuestros servicios de identidad de Microsoft que se enumeran dentro del alcance.
- Identifique una vulnerabilidad original y no informada previamente que resulte en la toma de control de una cuenta de Microsoft o una cuenta de Azure Active Directory.
- Identifique una vulnerabilidad original y no informada previamente en los estándares OpenID listados o con el protocolo implementado en nuestros productos, servicios o bibliotecas certificados.
- Envíe contra cualquier versión de la aplicación Microsoft Authenticator, pero los premios de recompensa solo se pagarán si el error se reproduce en la última versión disponible públicamente.
- Incluya una descripción del problema y pasos de reproducibilidad concisos que se entiendan fácilmente. (Esto permite que los envíos se procesen lo más rápido posible y respalda el pago más alto por el tipo de vulnerabilidad que se informa).
- Incluya el impacto de la vulnerabilidad
- Incluya un vector de ataque si no es obvio
- En el caso de las aplicaciones móviles, la investigación de vulnerabilidades debe reproducirse en la versión más reciente y actualizada del sistema operativo móvil y la aplicación.
Además, el error descubierto debe afectar a cualquiera de las siguientes herramientas:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (aplicaciones iOS y Android) *
- OpenID Foundation: la familia OpenID Connect
- OpenID Connect Core
- Descubrimiento de OpenID Connect
- Sesión de OpenID Connect
- Tipos de respuesta múltiple de OAuth 2.0
- Tipos de respuesta de publicación de formulario OAuth 2.0
El programa tiene sentido, dado que tiene millones de usuarios registrados en todo el mundo.
Se pueden obtener más detalles sobre el programa, incluidos los criterios de pago, los métodos de seguridad de investigación prohibidos y los criterios para envíos no elegibles. aquí .
Etiquetas Microsoft
![[Actualización] Serias vulnerabilidades de seguridad de iOS sin interacción del usuario descubiertas para ser explotadas activamente en la aplicación de correo de Apple dentro de la naturaleza](https://jf-balio.pt/img/news/16/ios-serious-security-vulnerabilities-with-zero-user-interaction-discovered-being-actively-exploited-wild-in.jpg)
