Microsoft выплаціла ўзнагароду ў памеры $374 300 даследнікам у вобласці інфармацыйнай бяспекі ў рамках конкурсу Azure Sphere Security Research Challenge, які доўжыўся на працягу трох месяцаў. У ходзе даследавання экспертам удалося выявіць 20 важных уразлівасцяў у галіне бяспекі, якія былі выпраўленыя ў выпусках абнаўленняў 20.07/20.08, 20.09/70 і 21/XNUMX. Усяго ў конкурсе прынялі ўдзел XNUMX даследчыкаў з XNUMX краіны.
У рамках даследавання кампанія Microsoft запрасіла да ўдзелу кіроўных сусветных экспертаў у вобласці кібербяспекі, а таксама пастаўшчыкоў рашэнняў для забеспячэння бяспекі, для таго каб яны паспрабавалі ўзламаць прылады, ужываючы выгляды нападаў, найболей часта выкарыстоўваных зламыснікамі. Удзельнікам конкурсу быў прадстаўлены камплект распрацоўніка, прамая сувязь з камандай забеспячэння бяспекі АС, падтрымка па электроннай пошце, а таксама публічна даступны код ядра аперацыйнай сістэмы.
Мэтай конкурсу было засяродзіць увагу даследчыкаў на тым, што аказвае найбольшы ўплыў на бяспеку кліентаў. Таму экспертам было дадзена шэсць сцэнарыяў даследавання з дадатковай узнагародай да 20% звыш стандартнай узнагароды ў рамках праграмы Azure Bounty (да $40 000), а таксама $100 000 за два высокапрыярытэтных сцэнара.
Некалькі ўдзельнікаў дапамаглі выявіць патэнцыйна небяспечныя ўразлівасці ў Azure Sphere. У ходзе конкурсу было атрымана ў агульнай складанасці 40 заявак, 30 з якіх прывялі да паляпшэння прадукта. Шаснаццаць з іх атрымалі права на ўзнагароду, якая ў агульнай складанасці склала $374 300.
Даследаванне праводзілася ў партнёрстве з кампаніямі Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks and Zscaler.
Крыніца: habr.com