Microsoft sobre la disposición a pagar , hasta cien mil dólares, por identificar una brecha en la plataforma IoT , basado en el kernel de Linux y utilizando aislamiento sandbox para servicios y aplicaciones principales. El premio se promete por demostrar vulnerabilidades en el subsistema. (raíz de confianza implementada en el chip) o (salvadera).
El premio es parte de un programa de tres meses. , que tendrá una duración del 1 de junio al 31 de agosto de 2020. La iniciativa está dirigida específicamente al sistema operativo Azure Sphere y no incluye subsistemas en la nube, que ya están incluidos en un programa de recompensas separado. Para recibir el premio, debe demostrar una vulnerabilidad que, durante un ataque local (compromiso de la aplicación) o remoto, puede conducir a la ejecución de código de terceros que no está firmado digitalmente, interceptar parámetros de autenticación, escalar privilegios, realizar cambios en la configuración. o evitar las restricciones del firewall. Para realizar el estudio, Microsoft expresó su disposición a brindar a los participantes acceso a productos y servicios, Azure Sphere SDK y documentación técnica, así como a brindar un canal de comunicación con los desarrolladores de plataformas.
La plataforma Azure Sphere está diseñada para crear dispositivos de Internet de las cosas basados en microcontroladores energéticamente eficientes (MCU, unidad de microcontrolador) con subsistemas periféricos integrados. Azure Sphere también se utiliza en equipos minoristas, por ejemplo, en empresas como Starbucks. Una de las características de la plataforma es el subsistema Pluton, diseñado para proporcionar hardware para cifrado, almacenamiento de claves privadas y realización de operaciones criptográficas complejas. Pluton incluye un procesador dedicado independiente, un motor de criptografía, un generador de números aleatorios por hardware y almacenamiento de claves aislado.
Adicionalmente, se puede señalar sobre un intento de vender el contenido de los repositorios privados de Microsoft GitHub a personas desconocidas. El desconocido afirmó que pudo descargar alrededor de 500 GB de datos de repositorios privados de Microsoft alojados en GitHub y proporcionó capturas de pantalla y 1 GB de datos como prueba. La mayoría de los participantes encontraron que la evidencia no era concluyente, ya que las capturas de pantalla eran fáciles de falsificar y los datos incluían un conjunto de archivos sin sentido con texto, pruebas y fragmentos de código en chino. Uno de los ingenieros de Microsoft. afirmó que la filtración probablemente sea falsa, ya que Microsoft tiene una regla según la cual los proyectos que deben hacerse públicos dentro de los 30 días se publican en repositorios privados en GitHub.
Fuente: opennet.ru