Сколько Microsoft будет платить тем, кто найдет дыры уязвимости в Windows

На протяжении многих лет Microsoft запускает различные программы поощрения обнаружения уязвимостей, некоторые из них все еще остаются в силе, но ни одна не охватывает продукт, который бы близко приближался к Windows по размерам базы исходного кода и потенциальной поверхности атаки.

Еще в 2013 году Microsoft запустила две программы поощрений, связанных с Windows, но они не включали вознаграждения за отдельные ошибки безопасности. Компания тогда предложила платить до 100 000 долларов за выявление новых методов атаки, которые могли бы обойти защиту от эксплойтов общего типа, встроенную в операционную систему, и за новые средства защиты, которые могли бы блокировать такие методы проникновения эксплойтов.

Программы по Сокращению Обходных Путей Mitigation Bypass и Награда за Защиту Bounty for Defense по-прежнему работают сегодня, но разработка наступательных и защитных методов требует большого объема работы и технических знаний, а это не совсем то, что может или хочет делать большее количество исследователей безопасности. В результате за последние четыре года было выплачено всего только 31 вознаграждение за вклады, представленные в рамках программы Сокращения Обходных Путей, и только четыре из них достигли 100 000 долл. США.

За последние годы компания также выпустила ряд наградных программ для обнаружения багов в определенных  продуктах, в том числе в Internet Explorer, Microsoft Edge, .NET Core и средах разработки ASP.NET Core и Microsoft Office. Тем не менее, большинство из этих программ были временными и охватывали предварительные версии продуктов с целью обнаружения и устранения как можно большего количества ошибок безопасности до тех пор, пока окончательные версии не будут выпущены для клиентов.

Windows Bounty

Новая программа , Windows Bounty, предназначена для покрытия уязвимостей во всех функциях и компонентах Windows. Действие программы не ограничивается каким-либо периодом времени, и, по словам компании, «будет продолжаться бесконечно на усмотрение Microsoft».

Целью программы является версия предварительного просмотра Windows 10 Insider Preview, доходящая до пользователя через так называемый круг медленного распространения. Сборки Insider Preview - это предварительные версии Windows 10, которые позволяют пользователям тестировать новые функции до того, как они будут включены в основные обновления Windows, предоставляемые клиентам каждые шесть месяцев. Существуют два «круга» распространения Insider Preview на которые пользователи могут подписаться - быстрый и медленный - и они отличаются частотой выпуска.

Денежные вознаграждения через программу Windows Bounty будут варьироваться от 500 до 15 000 долларов США в зависимости от потенциального воздействия от сообщенных уязвимостей, таких как удаленное выполнение кода, повышение привилегий, раскрытие информации, удаленный отказ в обслуживании, вредоносное внедрение или обман.

Кроме того, некоторые функции и компоненты Windows будут рассматриваться Microsoft,  как «центральные области», и поиск ошибок в них приведет к большим вознаграждениям. Например, компания готова заплатить от 5000 до 250 000 долл. за уязвимости, обнаруженные в  Microsoft Hyper-V, механизме виртуализации, который включен в некоторые версии Windows 10, Windows Server 2012, Windows Server 2012 R2 и Windows Server Insider Preview.

В марте организаторы ежегодного конкурса хакеров Pwn2Own предложили приз в размере 100 000 долларов за любой эксплойт, который взломает изолирующий слой, усиленный Microsoft Hyper-V или VMware Workstation. Две команды исследователей продемонстрировали прорывы в виртуальной машине на VMware Workstation, но никто не взломал Microsoft Hyper-V. Это говорит о том, что найти уязвимости высокого риска в технологии виртуализации Microsoft сложно, что может объяснить, почему компания готова заплатить до 250 000 долларов за них.

Еще одной центральной областью для новой программы бонусов является система охрана, предоставляемая защитником приложений Windows (WDAG), которая использует Hyper-V для запуска Microsoft Edge в изолированной среде. На WDAG-уязвимостях  исследователи могут заработать от 500 до 30 000 долларов, а найденные багги в безопасности в Microsoft Edge будут стоить нашедшему 500 и 15 000 долларов США.

Кроме того, Microsoft увеличила максимальную сумму вознаграждения за свои более старые программы Mitigation Bypass и Bounty for Defense от 100 000 до 200 000 долларов.

«Степень безопасности всегда меняется, и мы уделяем приоритетное внимание различным типам уязвимостей в разные моменты времени», говорится в сообщении Центра безопасности Microsoft Security в блоге. «Microsoft решительно верит в важность наград за нахождение ошибок, и мы считаем, что это служит на пользу повышения нашей безопасности».