Microsoft a augmenté les récompenses maximales pour les failles de sécurité à fort impact signalées via les programmes Microsoft 365 et Dynamics 365 / Power Platform bug bounty.
Avec l’expansion de ces deux programmes, les chercheurs en sécurité signalant les vulnérabilités d’Office 365 et du service de compte Microsoft peuvent gagner jusqu’à 30 % pour les scénarios éligibles.
« Grâce à ces nouvelles primes basées sur des scénarios, nous encourageons les chercheurs à concentrer leurs recherches sur les vulnérabilités qui ont le plus grand impact potentiel sur la confidentialité et la sécurité des clients », annonce Microsoft Security Response Center (MSRC). révélé.
« Les récompenses augmentent jusqu’à 30 % (26 000 USD au total) pour les soumissions de scénarios éligibles. »
Microsoft a ajouté que les failles qui ne sont pas considérées comme ayant un impact élevé pourraient toujours être éligibles à des primes dans le cadre du programme General Awards.
Ils pourraient également recevoir des récompenses plus élevées en fonction de la gravité de la vulnérabilité signalée et de la qualité des soumissions.
« Si une vulnérabilité signalée ne se qualifie pas pour une prime dans le cadre des scénarios à fort impact, elle peut être éligible pour une prime dans le cadre des récompenses générales », a déclaré la société. dit.
« Des récompenses plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la gravité et de l’impact de la vulnérabilité et de la qualité de la soumission. »
| Scénario | Récompense maximale |
| Exécution de code à distance via une entrée non fiable (CWE-94 « Contrôle incorrect de la génération de code (« injection de code ») ») | 30,00 % |
| Exécution de code à distance via une entrée non fiable (CWE-502 « Désérialisation de données non fiables ») | 30,00 % |
| Fuite non autorisée de données sensibles entre locataires et entre identités1 (CWE-200 « Exposition d’informations sensibles à un acteur non autorisé ») | 20,00 % |
| Fuite non autorisée de données sensibles entre identités (CWE-488 « Exposition d’un élément de données à une mauvaise session ») | 20,00 % |
| Vulnérabilités « Confused Deputy » qui peuvent être utilisées dans une attaque pratique qui accède aux ressources d’une manière qui contourne l’authentification (CWE-918 « Server-Side Request Forgery (SSRF) ») | 15,00 % |
Il y a une semaine, Microsoft a annoncé avoir finalement ajouté Exchange, SharePoint et Skype Entreprise sur site à ses programmes de primes de bugs.
Les chercheurs en sécurité peuvent désormais trouver et signaler les vulnérabilités affectant les serveurs Exchange et SharePoint sur site pour gagner des primes allant de 500 $ à 26 000 $.
L’équipe du MSRC a déclaré que les chercheurs chasseurs de primes pourraient obtenir des récompenses plus élevées en fonction des multiplicateurs de gravité (entre 15 et 30%) découlant de l’impact des vulnérabilités.
Plus de détails sur les montants des récompenses, les scénarios à fort impact et la liste mise à jour des domaines concernés sont disponibles sur le Page du programme de primes M365.