宣布微软缓解绕过悬赏计划的变更

作者：swiat
发布日期：2018年6月21日
阅读时间：3分钟

今天我们宣布对缓解绕过悬赏计划进行一项变更：将控制流保护（CFG）从适用范围的缓解措施中移除。本文将提供更多背景信息并解释我们做出这一变更的原因。

缓解绕过悬赏计划背景

微软于2013年启动了缓解绕过悬赏计划，旨在通过了解绕过技术来改进关键纵深防御缓解技术。自该计划启动以来，我们已发放超过100万美元的奖金，并修复了众多报告的漏洞缓解绕过问题，期待未来这一数字能继续增长。

缓解绕过悬赏计划面临的一个挑战是向研究人员明确说明哪些问题属于适用范围、哪些不属于，以及可以预期的现金奖励金额。过去几年中，我们进行了多项改进，例如：

• 更清晰地定义不同类型缓解绕过（如漏洞与设计问题）的奖励层级。
• 更透明地公布我们当前已知的问题类型，以便研究人员了解哪些绕过属于适用范围之外。

尽管有这些改进，我们知道仍有不足，并继续倾听反馈，进行调整以更友好地支持研究人员。

漏洞缓解对利用的影响

微软监控的一个数据点是在野漏洞利用的发生情况。过去8年中，微软观察到在野利用的漏洞数量持续下降。

我们认为，在野已知漏洞利用减少的部分原因是利用难度的增加，这间接影响了漏洞利用的经济性。我们将难度增加的大部分归因于微软对漏洞缓解技术的持续投资，如CFG、任意代码保护（ACG）、代码完整性保护（CIG）、MemGC等。

在启动缓解绕过悬赏计划之前，我们更依赖分析在野发现的漏洞来识别缓解机会。这导致了技术在野使用与缓解可用性之间的滞后。为了缩短这一滞后时间，我们启动了缓解绕过悬赏计划，以主动了解在野使用之前的绕过技术。

CFG一直是安全研究人员特别受欢迎的缓解绕过悬赏目标。得益于这项研究，我们了解了许多影响CFG的漏洞和设计限制。这促使我们重新评估需要防御的威胁模型，以实现更强大的控制流完整性（CFI）。为此，我们知道需要扩展和改进CFG的设计，例如通过更细粒度的CFI、只读内存保护、安全展开/异常处理等。我们最近讨论了CFG的挑战以及威胁模型的演变（视频 | 幻灯片）。

微软还收到了针对缓解绕过悬赏计划中其他目标（如ACG）的提交并进行了修复。研究人员可以期待，随着我们构建新的缓解措施，我们会将它们添加为悬赏目标。

缓解绕过悬赏计划范围的变更

自今日起，CFG已从缓解绕过悬赏计划的适用范围中移除。我们认为现在对CFG的局限性以及需要调整设计的威胁模型有了很好的理解。在我们解决这些局限性之前，我们不认为对CFG绕过的额外研究会有价值，更希望研究人员将注意力集中在悬赏计划的其他适用范围缓解措施上。尽管我们将CFG从悬赏范围中移除，但我们无意移除或弃用该功能，仍然认为它是一个有价值的纵深防御缓解措施。我们期待在改进CFG后将其重新纳入范围。

一如既往，我们欢迎社区对此或任何相关主题的反馈。

Joe Bialek
MSRC漏洞与缓解团队