オンプレミスサーバー製品追加! アプリケーションとオンプレミス サーバーのバグ報奨金プログラムの紹介
本ブログは、On-Premises Servers Products are Here! Introducing the Applications and On-Premises Servers Bug Bounty Program の抄訳版です。最新の情報は原文を参照してください。
マイクロソフトは、オンプレミスの Exchange、SharePoint、Skype for Business をMicrosoft Applications and On-Premises Servers Bounty Program (英語情報) に追加しました。
この拡張されたプログラムを通じて、お客様の保護に協力いただくために、研究者の皆様が影響力の大きいセキュリティ脆弱性を発見と報告を奨励しています。私たちは、対象となる報告に、最大$ 26,000 USD の報奨金を提供しています。現在、以下の製品が報奨金の対象に加わります。
- オンプレミスの Exchange
- オンプレミスの SharePoint
- オンプレミスの Skype for Business
それだけではありません!报奨は、お客様のセキュリティに最も影響を与える可能性の高い分野の研究に対して、最高の赏を提供するハイインパクトシナリオも含まれています。
セキュリティへの影響と深刻度加算
| シナリオ | 深刻度加算 |
|---|---|
| EXCHANGE のみ: Server Side Request Forgery により、攻撃者は任意の URL に対してサーバー側の HTTP 要求を行うことができる。 | 20% |
| SHAREPOINT のみ: 認証された Server Side Request Forgery により、攻撃者は認証されたサーバー サイドの HTTP 要求を任意の URL に行うことができる。 | 20% |
| ユーザーが制御可能なデータの安全でないデシリアライゼーションより、サーバー上でリモートにコードが実行される。 | 30% |
| サーバー上のユーザー制御の場所にユーザーが制御するデータの任意のファイル書き込み。 | 20% |
| 認証バイパスにより、未認証のまま脆弱性を多く悪用される。 | 20% |
| Exchange Emergency Mitigation Service (EEMS) 内の脆弱性 | 15% |
対象となる範囲と报奨金额の详细については、Microsoft Applications and On-Premises Servers Bounty Program (英语情报) を参照してください。
マイクロソフトのバグ报奨金プログラムは、お客様のセキュリティを保护するために、グローバルなセキュリティ研究コミュニティとのパートナーシップに投资する数多くの方法のうちの 1 つにすぎません。新しいオンプレミス サーバーの范围に関するご质问、またはその他のセキュリティ研究インセンティブ プログラムに関する一般的なお问い合わせは、bounty@microsoft.com (英语) または jpsecure@microsoft.com (日本语)までお问い合わせください。
Madeline Eckert , Lynn Miyashita, MSRC