[ 187,826 page views, 63,177 usuários - média últimos 90 dias ] - [ 5.806 assinantes na newsletter, taxa de abertura 27% ]

Microsoft oferece até US$ 20 mil por bugs nos produtos Defender

A Microsoft anunciou na terça-feira, 21, que está disposta a pagar até US$ 20 mil por vulnerabilidades descobertas por pesquisadores de segurança como parte de um novo programa de recompensa por bugs para produtos Defendersoftware de segurança para remoção malware, trojan, spyware e adware instalados em computador.

O novo Microsoft Defender Bounty Program começa com APIs Defender for Endpoint, mas a gigante da tecnologia diz que outros produtos da marca Defender serão adicionados. “O Microsoft Defender Bounty Program convida pesquisadores em todo o mundo a identificar vulnerabilidades nos produtos e serviços do Defender e compartilhá-las com nossa equipe”, diz a empresa.

Os pesquisadores participantes podem ganhar entre US$ 500 e US$ 20 mil pelas falhas identificadas, dependendo do impacto e da qualidade do relatório.

As recompensas mais altas, diz a Microsoft, podem ser concedidas por bugs de execução remota de código (RCE) de gravidade crítica. A empresa está disposta a distribuir até US$ 8 mil para descoberta de bugs para elevação crítica de privilégios e problemas de divulgação de informações, e pode oferecer até US$ 3 mil para falsificação e vulnerabilidades de adulteração.

Para se qualificar para uma recompensa por bug, os pesquisadores precisam relatar falhas que estão dentro do escopo do programa, que não foram informadas anteriormente e que podem ser reproduzidas na versão mais recente e totalmente corrigida do produto.

As vulnerabilidades no escopo incluem script entre sites (XSS), falsificação de solicitação entre sites (CSRF), falsificação de solicitação do lado do servidor (SSRF), violação ou acesso a dados entre locatários, referências diretas inseguras de objetos e desserialização insegura, injeção, execução de código do lado do servidor e problemas de configuração incorreta de segurança.

Veja isso
Microsoft corrige bug de dia zero no Windows Defender
Microsoft publica Defender ATP Android para uso corporativo

Os relatórios que cobrem componentes com vulnerabilidades conhecidas também devem incluir código de exploração de prova de conceito (PoC), diz a gigante da tecnologia. Os relatórios devem ser claros e concisos, e devem incluir as informações necessárias para reproduzir a questão.

Todos os relatórios, diz a Microsoft, devem ser enviados por meio do Portal do Pesquisador do MSRC, indicar para qual cenário de alto impacto eles se qualificam e devem descrever o vetor de ataque para o bug.

“O escopo do programa Defender Bounty é limitado a vulnerabilidades técnicas em produtos e serviços relacionados ao Defender. Se você descobrir dados de clientes durante a realização de sua pesquisa, ou não estiver claro se é seguro prosseguir, pare e entre em contato conosco”, diz a gigante da tecnologia.

Mais detalhes sobre o Programa Microsoft Defender Bounty podem ser encontrados no portal MSRC.