宣布微软缓解绕过赏金计划的变更

今天，我们宣布对缓解绕过赏金计划进行一项变更：将控制流防护（CFG）从范围内的缓解技术中移除。在本博客中，我们将提供更多背景信息，并解释为何做出这一变更。

缓解绕过赏金计划背景

微软于2013年启动了缓解绕过赏金计划，旨在通过了解绕过技术来改进关键纵深防御缓解技术。自该计划启动以来，我们已经发放了超过100万美元的赏金，并修复了多个报告的漏洞缓解绕过问题，期待未来这一数字继续增长。

我们在缓解绕过赏金计划中面临的一个挑战是向研究人员提供清晰的指导，说明哪些问题属于范围内、哪些属于范围外，以及可以预期的现金奖励类型。过去几年中，我们进行了多项改进，例如：

• 更清晰地定义不同类型缓解绕过的奖励层级（例如漏洞与设计问题）。
• 更透明地说明当前已知的问题类型，以便研究人员了解哪些绕过属于范围外。

尽管有这些改进，我们知道我们并不完美，因此继续听取反馈并做出变更，以更友好地支持研究人员。

漏洞缓解对利用的影响

微软监控的一个数据点是野外漏洞利用的发生情况。过去8年中，微软观察到野外漏洞利用的数量稳步下降。

我们认为，野外已知漏洞利用减少的部分原因是利用难度的增加，这间接影响了漏洞利用的经济性。我们将难度增加的大部分归因于微软对漏洞缓解技术的持续投资，如CFG、任意代码防护（ACG）、代码完整性防护（CIG）、MemGC等。

在启动缓解绕过赏金计划之前，我们更依赖分析野外发现的漏洞来识别缓解机会。这导致了技术在野外使用与缓解可用性之间的滞后。为了缩短这一滞后时间，我们启动了缓解绕过赏金计划，以在绕过技术被野外使用之前主动了解它们。

CFG一直是安全研究人员特别受欢迎的缓解绕过赏金目标。得益于这项研究，我们了解了许多影响CFG的漏洞和设计限制。这促使我们重新评估需要防御的威胁模型，以实现更强大的控制流完整性（CFI）。为此，我们知道需要扩展和改进CFG的设计，例如通过更细粒度的CFI、只读内存保护、安全展开/异常处理等。我们最近讨论了CFG的挑战以及我们的威胁模型如何演变（视频 | 幻灯片）。

微软还收到了其他缓解绕过赏金目标的提交并进行了修复，例如ACG。研究人员可以期待，随着我们构建新的缓解技术，我们会将它们添加为赏金目标。

缓解绕过赏金计划范围的变更

自今日起，CFG已从缓解绕过赏金计划的范围内缓解技术中移除。我们认为我们现在对CFG的局限性以及需要调整设计的威胁模型有了很好的理解。在我们解决这些局限性之前，我们不认为对CFG绕过的额外研究会有价值，更希望研究人员将注意力集中在其他范围内的缓解技术上。尽管我们将CFG从赏金范围中移除，但我们无意移除或弃用该功能，并且仍然认为它是一个有价值的纵深防御缓解技术。我们期待在改进CFG后将其重新纳入范围。

一如既往，我们感谢社区对此或任何相关主题的反馈。

Joe Bialek
MSRC漏洞与缓解团队