Bountycraft at Nullcon 2017
安全是微软产品的关键组成部分。在整个开发过程中,我们始终高度重视安全性。微软致力于设计和开发安全软件,通过内部测试以及与更广泛的安全社区密切合作进行验证。这包括通过多种合作伙伴关系和项目(包括漏洞赏金计划)来确保客户获得最安全的产品。
为实现这一使命,微软于2013年推出了首个赏金计划,以补偿研究人员花费时间调查并直接向微软报告安全漏洞。自那时起,微软已显著扩展其漏洞赏金计划,涵盖Office、Windows、Internet Explorer、Edge和Microsoft云服务。
在推出Microsoft Cloud、Edge和缓解绕过赏金计划后,我们发现软件和服务漏洞报告趋势发生了变化,现在超过三分之一的漏洞报告来自亚洲。我们收到的服务漏洞中超过50%来自印度,软件漏洞中超过30%来自中国。
2017年3月,在印度的Nullcon会议上,微软举办了一场研讨会,旨在寻找与安全研究社区合作的更好方式,以消除或减轻对客户的潜在威胁。
该研讨会旨在更好地帮助东南亚安全专业人员发现高质量、高影响的漏洞,并帮助我们找到更多使产品更安全的方法。微软在印度进行了几场演讲,重点关注Windows、Azure和Microsoft云。我们还推出了Office 365门户和Exchange Online限时双倍赏金。
您可以下载完整的幻灯片如下:
以下是内容摘要:
1) Windows 10中的安全缓解敏捷性
缓解措施是解决安全问题的有效方式,因为它通过将重点从个别修复转移开来,帮助我们消除漏洞类别和利用技术。自从Windows转向更快的发布周期以来,我们能够比以前更快地向客户提供安全缓解措施。自Windows 10以来,我们以加速的节奏在每个版本中添加了许多缓解措施。如果您是Windows Insider计划的一部分,持续添加的缓解措施是显而易见的。
本次演讲重点介绍了Windows的新发布节奏,这使得落地缓解措施成为可能。我们列出了自初始发布以来Windows 10中的所有缓解措施,以及在创作者更新版本中的缓解措施。总体而言,幻灯片很好地概述了最新的安全缓解措施。这应该有助于那些希望开始参与寻找缓解绕过赏金的人。
2) 如何成功参与Azure赏金计划及微软赏金计划内部运作
本次培训重点关注Microsoft Azure和赏金计划 offerings。在演示中,我们详细介绍了几个外部报告的已修复漏洞,以及为什么一些漏洞在双倍赏金奖励期间获得了15,000美元和26,000美元的最高奖励。此外,我们还介绍了安装和配置Azure以启用寻找我们支付最多的漏洞的过程。
我们举办本次研讨会的目标是让白帽黑客清楚了解微软如何裁定安全漏洞以及如何最大化您的赏金漏洞收益。
简短的回答是,我们为更高影响支付更多。我们建议:
- 超越漏洞类型,更多地关注漏洞如何对Microsoft属性产生负面影响(以及对我们用户的感知影响)。
- 明智选择您试图攻破的Microsoft云属性(或目标)。某些属性支付比其他属性更多(由于对用户的影响)。
在会议上提供的另一个重要信息是过去几年中获得最高支付的漏洞类型:
- 身份验证漏洞
- 权限提升
- 跨站脚本(在高流量、高影响站点上)
我们从赏金计划中获得最高支付的指导非常简单。
- 始终提交具有易于重现步骤的高质量报告:如果您提交了易于理解的报告,我们会支付额外费用。请随时阅读我们的Technet页面“向secure@microsoft.com报告安全漏洞”。
- 指定目标域:帮助我们理解攻击场景:
- 您需要什么权限来触发利用(用户、管理员、系统等)?
- 您如何触发利用?
- 如果这在野外被发现,攻击者将获得或妥协什么?
- 您的感知影响是什么?
- 将所有漏洞发送至secure@microsoft.com(在收件人行中包含secure@):如果您发送功能利用,请加密电子邮件。
Akila Srinivasan, 安全项目经理
Michael Hendrickx, 高级安全工程师
Swamy Shivaganga Nagaraju, 高级安全工程师