Microsoft ajoute Exchange sur site et SharePoint au programme de primes de bugs

Microsoft

Microsoft a annoncé qu’Exchange, SharePoint et Skype Entreprise sur site font désormais partie du programme Bounty pour les applications et les serveurs sur site à compter d’aujourd’hui.

Avec l’expansion de ce programme de primes de bugs, les chercheurs en sécurité qui trouvent et signalent des vulnérabilités affectant les serveurs sur site sont éligibles à des récompenses allant de 500 $ à 26 000 $.

« Le programme Microsoft Applications and On-Premises Servers Bounty invite les chercheurs du monde entier à identifier les vulnérabilités dans des applications Microsoft spécifiques et des serveurs sur site et à les partager avec notre équipe », a déclaré la société. dit.

« Des récompenses plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la gravité et de l’impact de la vulnérabilité et de la qualité de la soumission. »

L’équipe Microsoft Security Response Center (MSRC) a également déclaré que les chercheurs en sécurité pourraient recevoir des récompenses plus élevées en fonction des multiplicateurs de gravité découlant de l’impact des vulnérabilités signalées.

« La prime comprend également des scénarios à fort impact offrant les récompenses les plus élevées à la recherche dans les domaines ayant l’impact potentiel le plus élevé sur la sécurité des clients », a déclaré l’équipe MSRC. ajoutée.

« L’objectif du programme Bounty est de découvrir des vulnérabilités techniques importantes qui ont un impact direct et démontrable sur la sécurité de nos clients utilisant la dernière version de l’application », a expliqué Microsoft.

Impact sur la sécurité Multiplicateur de gravité
EXCHANGE UNIQUEMENT : la contrefaçon de requête côté serveur permet à un attaquant d’effectuer des requêtes HTTP côté serveur vers des URL arbitraires. 20%
SHAREPOINT UNIQUEMENT : la falsification de requête côté serveur authentifiée permet à un attaquant d’effectuer des requêtes HTTP côté serveur authentifiées vers une URL arbitraire 20%
Désérialisation non sécurisée des données contrôlables par l’utilisateur, entraînant l’exécution de code à distance sur le serveur 30%
Écriture de fichier arbitraire de données contrôlées par l’utilisateur sur un emplacement contrôlé par l’utilisateur sur le serveur. 20%
Le contournement de l’authentification permet une exploitation non authentifiée, ce qui entraîne une exploitation massive des vulnérabilités 20%
Vulnérabilités dans Exchange Emergency Mitigation Service (EEMS) 15%

Plus d’informations sur les montants des récompenses, les applications concernées et les serveurs sur site sont disponibles sur le Page du programme Bounty pour les applications et les serveurs sur site.