Microsoft pagó 374 dólares en recompensas a investigadores de seguridad de la información como parte del Azure Sphere Security Research Challenge, que duró tres meses. Durante el estudio, los expertos pudieron descubrir 300 vulnerabilidades de seguridad importantes que se solucionaron en las versiones de actualización 20, 20.07 y 20.08. En el concurso participaron un total de 20.09 investigadores de 70 países.
Como parte del estudio, Microsoft invitó a los principales expertos en ciberseguridad y proveedores de soluciones de seguridad del mundo a intentar piratear dispositivos utilizando los tipos de ataques más utilizados por los atacantes. Los competidores recibieron un kit de desarrollo, comunicación directa con el equipo de seguridad del sistema operativo, soporte por correo electrónico y código de kernel disponible públicamente para el sistema operativo.
El objetivo del concurso era centrar la atención de los investigadores en lo que tiene el mayor impacto en la seguridad del cliente. Por lo tanto, los expertos recibieron seis escenarios de investigación con una recompensa adicional de hasta un 20% por encima de la recompensa estándar de Azure Bounty (hasta 40 000 dólares), así como 100 000 dólares por dos escenarios de alta prioridad.
Varios colaboradores ayudaron a descubrir vulnerabilidades potencialmente peligrosas en Azure Sphere. El concurso recibió un total de 40 candidaturas, 30 de las cuales dieron lugar a mejoras del producto. Dieciséis de ellos fueron elegibles para premios, que ascendieron a 374 dólares.
El estudio se realizó en asociación con Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks y Zscaler.
Fuente: habr.com