Баги — новая нефть: Microsoft готова платить годовую зарплату за критические дыры

Microsoft Bug Bounty Secure Future Initiative .NET ASP.NET Core уязвимости
Баги — новая нефть: Microsoft готова платить годовую зарплату за критические дыры
Microsoft Bug Bounty Secure Future Initiative .NET ASP.NET Core уязвимости

Всего за один найденный баг хакеры смогут купить себе новый автомобиль.

image

Microsoft объявила о масштабных изменениях в своей программе поощрений за уязвимости в платформе .NET, значительно расширив её охват и увеличив вознаграждения за находки. Теперь за критические баги в .NET и ASP .NET Core, включая компоненты Blazor и Aspire, можно получить до 40 тысяч долларов. Компания подчёркивает, что новая структура призвана точнее учитывать техническую сложность поиска и эксплуатации подобных уязвимостей.

Как пояснила старший менеджер Microsoft по программам вознаграждений Мэделин Эккерт, обновления охватывают не только расширение перечня уязвимостей, подлежащих вознаграждению, но и упрощённую систему оценивания наград. Основной упор сделан на стимуляцию поиска сложных и редких ошибок — особенно в сценариях, где возможен удалённый захват управления системой или обход критических механизмов защиты.

В обновлённой версии программы максимальное вознаграждение в 40 тысяч долларов предусмотрено за уязвимости, позволяющие выполнение произвольного кода или эскалацию привилегий. За успешное выявление критического обхода защитных функций теперь полагается до 30 тысяч долларов, а за ошибки, приводящие к отказу в обслуживании на удалённом уровне, — до 20 тысяч.

Помимо этого, Microsoft расширила технические границы программы. Теперь она охватывает все поддерживаемые версии .NET и ASP .NET, включая такие сопутствующие технологии, как F#. Под действие программы попали и шаблоны, поставляемые вместе с .NET и ASP .NET Core, а также компоненты, связанные с GitHub Actions в официальных репозиториях платформы. В том числе — версии ASP .NET Core, предназначенные для .NET Framework.

Отдельное внимание уделяется и смежным инициативам. Ранее в этом году Microsoft увеличила награды до 30 тысяч долларов за уязвимости, связанные с ИИ в продуктах Power Platform и Dynamics 365. В феврале компания ввела двойной множитель выплат за баги в Microsoft Copilot и стала поощрять даже ошибки средней степени опасности в этом направлении.

В 2024 году на конференции Ignite Microsoft запустила хакерский конкурс Zero Day Quest, сосредоточенный на поиске уязвимостей в облачных и ИИ-платформах. Призовой фонд мероприятия составил 4 миллиона долларов.

Все эти шаги реализуются в рамках стратегии Secure Future Initiative — масштабного плана по переосмыслению подходов к информационной безопасности, запущенного осенью 2023 года. Поводом для запуска программы стала критика со стороны независимой группы Cyber Safety Review Board при Министерстве внутренней безопасности США, которая указала на системные пробелы в корпоративной культуре безопасности Microsoft и призвала к её радикальной перестройке.