Microsoft a versé 374 300 $ en récompenses aux chercheurs en sécurité de l'information dans le cadre du Azure Sphere Security Research Challenge, qui a duré trois mois. Au cours de l'étude, les experts ont pu découvrir 20 failles de sécurité importantes qui ont été corrigées dans les mises à jour 20.07, 20.08 et 20.09. Au total, 70 chercheurs de 21 pays ont participé au concours.
Dans le cadre de l'étude, Microsoft a invité les plus grands experts mondiaux en cybersécurité et fournisseurs de solutions de sécurité à tenter de pirater des appareils en utilisant les types d'attaques les plus souvent utilisés par les attaquants. Les concurrents ont reçu un kit de développement, une communication directe avec l'équipe de sécurité du système d'exploitation, une assistance par courrier électronique et un code noyau accessible au public pour le système d'exploitation.
L'objectif du concours était d'attirer l'attention des chercheurs sur ce qui a le plus grand impact sur la sécurité des clients. Par conséquent, les experts ont reçu six scénarios de recherche avec une récompense supplémentaire allant jusqu'à 20 % au-dessus de la récompense Azure Bounty standard (jusqu'à 40 000 $), ainsi que 100 000 $ pour deux scénarios hautement prioritaires.
Plusieurs contributeurs ont aidé à découvrir des vulnérabilités potentiellement dangereuses dans Azure Sphere. Le concours a reçu un total de 40 candidatures, dont 30 ont abouti à des améliorations de produits. Seize d'entre eux étaient admissibles à des bourses, pour un montant total de 374 300 $.
L'étude a été menée en partenariat avec Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks et Zscaler.
Source: habr.com