结束Azure Sphere安全研究挑战赛，微软向全球安全研究社区颁发37.43万美元奖金

Azure Sphere安全研究挑战赛汇集了来自21个国家的70名研究人员，共同帮助保护Azure Sphere客户，并拓展微软与全球物联网安全研究社区的合作关系。在这为期三个月的挑战赛中，研究人员发现了20个严重或重要级别的安全漏洞，微软为其中16份符合赏金条件的报告颁发了37.43万美元的奖金。

挑战赛期间发现的许多漏洞具有新颖性和高影响力，并推动了Azure Sphere在20.07、20.08和最新的20.09更新中的重大安全改进。这些更新已自动推送到连接到互联网的Azure Sphere设备，以帮助保护客户安全。来自McAfee ATR和Cisco Talos的安全研究人员报告了Azure Sphere中一些最高影响的漏洞，特别是McAfee ATR开发的一个完整攻击链，暴露了云中的弱点以及设备上的多个弱点，包括一个先前未知的Linux内核漏洞。

为了将研究重点放在最高影响领域，我们引入了两个高优先级研究场景，专注于Azure Sphere OS核心，奖金为10万美元；以及六个通用场景，专注于Azure Sphere OS的各个层面，奖金在Azure赏金计划基础上额外增加高达20%。参与的研究人员分享了成功实现三个通用场景的披露：

• 任何允许在Linux下执行非纯返回导向编程（ROP）的未签名代码
• 任何允许在应用程序清单描述的能力之外提升权限（例如更改用户ID、添加对二进制文件的访问）
• 在制造状态设备上修改软件和配置选项（除完全设备重置外）的能力，当设备被声明到一个您未登录且没有保存功能的租户时

查看Azure Sphere团队的博客《为什么我们邀请安全研究人员攻击Azure Sphere》，了解更多关于挑战赛结果和安全改进的详细信息。微软还在为Azure Sphere中发现的漏洞分配CVE，相关文档将在更新星期二发布。

我们对这次研究挑战赛的出色成果感到兴奋，并从项目参与者的经验中学习。这是我们首次扩展Azure安全实验室，旨在为研究人员提供额外资源，以激发新的高影响力研究，并通过每周办公时间和直接合作机会，促进安全研究社区与微软工程团队之间的紧密协作。我们坚信，这次挑战赛以及Azure安全实验室的即将扩展将继续帮助保护我们的云和Azure Sphere，并期待扩展安全研究人员可用的资源以支持高影响力研究。未来的研究挑战赛将发布在我们的Azure安全实验室项目页面上，敬请关注！

我们继续邀请研究人员作为微软Azure赏金计划的一部分，寻找Azure Sphere中的高影响力漏洞。符合条件的提交可获得高达4万美元的奖金。

特别感谢安全研究人员和行业合作伙伴

我们相信与全球安全研究社区的合作对于保护客户安全至关重要。我们很荣幸有机会通过协同漏洞披露与众多才华横溢的研究人员和行业合作伙伴合作，使Azure Sphere和更广泛的物联网生态系统更加安全。

我们感谢全球安全研究社区以及我们的关键行业合作伙伴在此次研究挑战赛中的合作，包括Avira、百度国际科技、Bitdefender、Bugcrowd、思科系统公司（Talos）、ESET、FireEye、F-Secure公司、HackerOne、K7 Computing、McAfee、Palo Alto Networks和Zscaler。

Sylvie Liu & Lynn Miyashita，微软安全响应中心安全项目经理