Microsoft предлагает до 40 000 долларов за уязвимости в .NET

[Article Publisher]

Компания Microsoft расширяет программу bug bounty для .NET и увеличивает максимальное вознаграждение до 40 000 долларов за некоторые баги в .NET и ASP.NET Core.

В компании сообщили, что эти изменения отражают реальную сложность поиска и эксплуатации уязвимостей, связанных с .NET.

«Мы рады объявить о важных обновлениях bounty-программы Microsoft .NET. Изменения расширяют охват, упрощают структуру наград и предлагают отличные стимулы для специалистов по безопасности, — пишет Маделин Эккерт (Madeline Eckert), старший менеджер по программе стимулирования исследователей в Microsoft. — Теперь в рамках программы можно получить до 40 000 долларов за уязвимости, затрагивающие .NET и ASP.NET Core (включая Blazor и Aspire)».

Таким образом, теперь Microsoft платит:

• до 40 000 долларов за критические баги удаленного выполнения кода и повышения привилегий;
• до 30 000 долларов за критические обходы защитных механизмов;
• до 20 000 долларов за критические удаленные атаки на отказ в обслуживании (DoS).

Также программа bug bounty была расширена, чтобы охватывать больше проблем в .NET Framework. Теперь в нее входят:

• все поддерживаемые версии .NET и ASP.NET;
• смежные технологии, такие как F#;
• поддерживаемые версии ASP.NET Core для .NET Framework;
• шаблоны, поставляемые с поддерживаемыми версиями .NET и ASP.NET Core;
• GitHub Actions в репозиториях .NET и ASP.NET Core.

В рамках реструктурированной программы Microsoft будет рассчитывать вознаграждения за уязвимости на основе их потенциального воздействия, чтобы за серьезные дефекты исследователи получали более высокие суммы.

Отмечается, что каждый отчет будет классифицироваться как «полный» или «неполный» в зависимости от наличия полнофункциональных эксплоитов. Исследователи будут получать меньшее вознаграждение за теоретические сценарии атак.

Таким образом, за «неполные» отчеты, описывающие критические RCE, повышение привилегий и ошибки обхода защитных механизмов, можно будет получить награду в размере до 20 000 долларов США за «неполные» отчеты об удаленных DoS-атаках — до 15 000 долларов США, в то время как отчеты о спуфинге, раскрытии информации и некорректной документации принесут специалистам не более 7000 долларов США.

«Эти обновления призваны повысить прозрачность и поощрить подачу подробных и действенных предложений, которые помогают повысить безопасность всей экосистемы .NET», — заключили в Microsoft.