微软兴奋地宣布将Exchange本地服务器、SharePoint本地服务器和Skype for Business本地服务器纳入"应用程序与本地服务器漏洞赏金计划"。通过这项扩展计划,我们鼓励研究人员发现并报告高危安全漏洞以帮助保护客户。符合条件的提交最高可获得26,000美元奖励。以下产品现已纳入赏金范围:
- Exchange本地服务器
- SharePoint本地服务器
- Skype for Business本地服务器
不仅如此!该赏金计划还包含高危场景,对客户安全潜在影响最大的研究领域将获得最高奖励。
| 安全影响 | 严重性乘数 |
|---|---|
| 仅限Exchange:服务器端请求伪造漏洞允许攻击者向任意URL发起服务端HTTP请求 | 20% |
| 仅限SharePoint:经过认证的服务器端请求伪造漏洞允许攻击者向任意URL发起认证服务端HTTP请求 | 20% |
| 用户可控数据的不安全反序列化,导致服务端远程代码执行 | 30% |
| 在服务器上用户可控位置写入用户可控数据的任意文件 | 20% |
| 认证绕过漏洞允许未经认证的利用,导致漏洞大规模利用 | 20% |
| Exchange紧急缓解服务(EEMS)中的漏洞 | 15% |
要了解符合条件的范围和奖励金额,请访问[应用程序与本地服务器漏洞赏金计划]页面。微软的漏洞赏金计划只是我们与全球安全研究社区合作帮助保护微软客户的众多方式之一。如果您对新的本地服务器范围有任何疑问,或对任何其他安全研究激励计划有一般性询问,请通过bounty@microsoft.com联系我们。
Madeline Eckert和Lynn Miyashita,MSRC团队