Im Rahmen der drei Monate dauernden Azure Sphere Security Research Challenge zahlte Microsoft Belohnungen in Höhe von 374 US-Dollar an Informationssicherheitsforscher. Im Rahmen der Studie konnten Experten 300 wichtige Sicherheitslücken entdecken, die in den Update-Releases 20, 20.07 und 20.08 behoben wurden. Insgesamt beteiligten sich 20.09 Forscher aus 70 Ländern am Wettbewerb.
Im Rahmen der Studie lud Microsoft die weltweit führenden Experten für Cybersicherheit und Anbieter von Sicherheitslösungen ein, zu versuchen, Geräte mithilfe der von Angreifern am häufigsten verwendeten Angriffsarten zu hacken. Die Teilnehmer erhielten ein Entwicklungskit, direkte Kommunikation mit dem Sicherheitsteam des Betriebssystems, E-Mail-Support und öffentlich zugänglichen Kernel-Code für das Betriebssystem.
Ziel des Wettbewerbs war es, die Aufmerksamkeit der Forscher auf das zu lenken, was den größten Einfluss auf die Kundensicherheit hat. Daher erhielten die Experten sechs Forschungsszenarien mit einer zusätzlichen Belohnung von bis zu 20 % über der standardmäßigen Azure Bounty-Belohnung (bis zu 40 US-Dollar) sowie 000 US-Dollar für zwei Szenarien mit hoher Priorität.
Mehrere Mitwirkende haben dazu beigetragen, potenziell gefährliche Schwachstellen in Azure Sphere zu entdecken. Im Rahmen des Wettbewerbs gingen insgesamt 40 Einsendungen ein, 30 davon führten zu Produktverbesserungen. Sechzehn von ihnen hatten Anspruch auf Auszeichnungen im Gesamtwert von 374 US-Dollar.
Die Studie wurde in Zusammenarbeit mit Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks und Zscaler durchgeführt.
Source: habr.com