Microsoft über die Zahlungsbereitschaft , bis zu einhunderttausend Dollar, für die Identifizierung einer Lücke in der IoT-Plattform , Kernel-basiert Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме (Root of Trust auf dem Chip implementiert) oder (Sandkasten).
Die Auszeichnung ist Teil eines dreimonatigen Programms , die vom 1. Juni bis 31. August 2020 dauern wird. Die Initiative richtet sich speziell an Azure Sphere OS und umfasst keine Cloud-Subsysteme, die bereits in einem separaten Belohnungsprogramm enthalten sind. Um die Auszeichnung zu erhalten, müssen Sie eine Schwachstelle nachweisen, die bei einem lokalen Angriff (Anwendungskompromittierung) oder einem Remote-Angriff zur Ausführung von Code von Drittanbietern führen kann, der nicht digital signiert ist, Authentifizierungsparameter abfängt, Berechtigungen erweitert und Einstellungen ändert , oder Firewall-Einschränkungen umgehen. Zur Durchführung der Studie bekundete Microsoft seine Bereitschaft, den Teilnehmern Zugang zu Produkten und Diensten, Azure Sphere SDK und technischer Dokumentation zu gewähren sowie einen Kommunikationskanal mit Plattformentwicklern bereitzustellen.
Die Azure Sphere-Plattform ist für die Erstellung von Internet-of-Things-Geräten auf Basis energieeffizienter Mikrocontroller (MCU, Mikrocontroller-Einheit) mit integrierten Peripherie-Subsystemen konzipiert. Azure Sphere wird auch in Einzelhandelsgeräten verwendet, beispielsweise von Unternehmen wie Starbucks. Eines der Merkmale der Plattform ist das Pluton-Subsystem, das Hardware für die Verschlüsselung, die Speicherung privater Schlüssel und die Durchführung komplexer kryptografischer Operationen bereitstellt. Pluton umfasst einen separaten dedizierten Prozessor, eine Kryptografie-Engine, einen Hardware-Zufallszahlengenerator und einen isolierten Schlüsselspeicher.
Darüber hinaus kann darauf hingewiesen werden über einen Versuch, die Inhalte privater Microsoft GitHub-Repositories an Unbekannte zu verkaufen. Der Unbekannte gab an, etwa 500 GB Daten aus privaten Microsoft-Repositories auf GitHub herunterladen zu können, und lieferte als Beweis Screenshots und 1 GB Daten. Die meisten Teilnehmer fanden die Beweise nicht schlüssig, da Screenshots leicht zu fälschen waren und die Daten einige bedeutungslose Dateien mit chinesischem Text, Tests und Codeausschnitten enthielten. Einer der Ingenieure von Microsoft gab an, dass es sich bei dem Leak wahrscheinlich um eine Fälschung handelt, da Microsoft eine Regel hat, nach der Projekte, die innerhalb von 30 Tagen veröffentlicht werden müssen, in privaten Repositories auf GitHub veröffentlicht werden.
Source: opennet.ru
