悬赏升级：10万美元征集新型漏洞缓解绕过技术

那些认识我本人或在Twitter上关注我的人都知道我对卡拉OK的痴迷。只要有人愿意陪我去，我就会尽可能多地去唱，虽然从不强迫任何人唱歌，但每个人最终都会唱——或者至少在他们熟悉的歌曲中跟着哼唱。我最喜欢的歌曲之一是Bon Jovi的《Wanted Dead or Alive》，这也是我写这篇文章时脑海中回响的歌曲。希望到最后能有更多人跟着一起唱。你可以边读边把这首歌加入播放列表。

今天，微软宣布了其漏洞悬赏计划的首次升级，该计划最初于2013年6月宣布。我们正在扩大可以参与并提交新型漏洞缓解绕过技术和防御想法的人才库，包括在野外发现主动攻击的响应者和取证专家。这意味着比以往更多的人可以“跟着唱”以获得丰厚的悬赏奖金。

今天的消息意味着我们将从只接受少数能够自行发明新型漏洞绕过技术的个人提交，扩展到可能接受数千名在野外发现攻击的个人或组织提交。现在，发现者和发明者都可以提交新技术以获得10万美元的奖励。

我们的平台级防御或缓解措施是一种保护整个操作系统及其上运行的所有应用程序的盾牌。单个漏洞就像箭。盾牌越坚固，任何单个漏洞或箭穿透的可能性就越小。了解“绕过盾牌的方法”或新的缓解绕过技术比了解单个漏洞更有价值，因为对漏洞利用技术的洞察可以帮助我们防御整个攻击类别，而不仅仅是单个漏洞——因此，我们愿意为这些罕见的新技术支付10万美元。

基于我们战略悬赏计划的成功，微软正在发展悬赏格局，以造福我们的客户。我们创建的悬赏计划旨在改变当前漏洞市场的动态和经济性。我们目前通过几种方式实现这一点：

• 在其他买家通常不购买漏洞时（例如在预览/测试期间）提供漏洞悬赏，使微软能够在漏洞在灰色或黑市广泛交易并随后用于攻击客户之前，将一些关键漏洞从市场中清除。
• 向研究人员提供10万美元的悬赏，以教给我们新的缓解绕过技术，使我们能够更快地在产品中构建更好的防御，并通过EMET等工具提供变通方法和缓解措施。
• 发展我们的悬赏计划，包括响应者和取证专家，他们可以提交正在主动攻击中使用的技术，使我们能够致力于在产品中构建更好的防御。我们将尽可能与我们的MAPP计划合作，并利用我们的防御者社区网络来帮助更快地缓解这些攻击。

在微软悬赏计划的这一新扩展中，组织和个人有资格提交他们在野外主动使用中发现的漏洞利用的概念验证代码和技术分析，以获得我们最高10万美元的标准悬赏金额。如果参与者还提交了合格的防御想法，他们还有资格额外获得最高5万美元的奖励。两个计划的提交标准相似——但来源可能不同。

要参与扩展的悬赏计划，组织必须在提交前通过电子邮件doa [at] Microsoft [dot] com与我们预注册。在您预注册并签署协议后，我们将接受技术报告和概念验证代码的提交以进行悬赏考虑。

我们希望尽可能早地了解这些罕见的新漏洞利用技术，理想情况下是在它们被使用之前，但如果攻击技术是新的，即使它们目前正在用于定向攻击，我们也会支付奖金——因为我们希望它们“无论生死”。

我们悬赏计划的这一演变旨在进一步破坏漏洞和漏洞利用市场。目前，黑市根据独家性和在供应商发现和缓解之前的有用寿命等因素为漏洞和漏洞利用支付高价。通过扩展我们的悬赏计划，微软正在缩短在黑市上购买的漏洞利用和漏洞的有用时间，特别是对于那些依赖隐秘利用而不被发现的定向攻击。

我们将看到这首歌如何演绎，但我个人很兴奋有更多的歌手走到麦克风前，或从场边唱出来。

Katie Moussouris
高级安全策略师和卡拉OK主持人
微软安全响应中心
https://twitter.com/k8em0
（那是一个零）