微软专为身份服务推出漏洞奖励计划。
安全部门负责人 Philip Misner 表示,“微软在客户(Microsoft Account) 和企业(Azure Active Directory)身份解决方案投入重大。”但微软不仅是为了保护自身安全,漏洞奖励计划也涵盖对 OpenID 标准的执行。Misner 表示,微软之所以涵盖 OpenID,是因为其认证技术需要基于标准运行。
Misner 指出,安全研究员在身份服务中发现漏洞并私下提交给微软,在后者修复漏洞后再公开技术详情,则可获得500美元至10万美元的奖励。
漏洞奖励计划涵盖的登录工具如下:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
iOS 和安卓版本的Microsoft Authenticator
另外,研究人员所找的漏洞要求满足以下条件:
找到原始的且此前未报告的严重或重要漏洞,能够在微软身份服务中复现。
找到原始的且此前未报告的漏洞,可导致 Microsoft Account 或 Azure Active Directory Account 遭控制。
在所列的 OpenID 标准中找到原始的且此前未报告的漏洞,或者和我们使用的认证产品、服务或库中实施的协议有关。
可提交针对微软任意版本的 Authenticator 应用的漏洞,但只有能够在最新的公开版本中复现的漏洞才可获得奖励。
包含对问题的说明和易于理解的简短复现步骤(这样便于尽快处理提交的报告,并支持所报告漏洞类型的最高付款)。
包含漏洞的影响。
包含攻击向量,如攻击向量并非显而易见的话。
不难看出微软为什么认为其身份服务对于赏金猎人而言是个很好的目标。微软拥有数亿注册用户,使得恶意人员对这块大蛋糕蠢蠢欲动。与此同时给白帽子更多的激励,不失为一个巧妙的众包方法。
据称,Active Directory 核心内还潜伏着虚拟网络操作系统 Banyan Vines 的残余,而人们也应该更多地关注这种易受攻击的产品,以防这款古老的产品卷土重来带来威胁。
本文由360代码卫士翻译自TheRegister
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
