Microsoft sobre disposição para pagar , até cem mil dólares, para identificar uma lacuna na plataforma IoT , baseado no kernel Linux e usando isolamento de sandbox para serviços e aplicativos principais. O prêmio é prometido por demonstrar vulnerabilidades no subsistema (raiz de confiança implementada no chip) ou (caixa de areia).
A premiação faz parte de um período de três meses , que durará de 1º de junho a 31 de agosto de 2020. A iniciativa é voltada especificamente para o sistema operacional Azure Sphere e não inclui subsistemas de nuvem, que já estão incluídos em um programa de recompensas separado. Para receber o prêmio, você deve demonstrar uma vulnerabilidade que, durante um ataque local (comprometimento da aplicação) ou remoto, possa levar à execução de código de terceiros que não seja assinado digitalmente, interceptar parâmetros de autenticação, escalar privilégios, fazer alterações nas configurações ou ignorar as restrições do firewall. Para realizar o estudo, a Microsoft manifestou sua disposição em fornecer aos participantes acesso a produtos e serviços, Azure Sphere SDK, documentação técnica, bem como fornecer um canal de comunicação com os desenvolvedores da plataforma.
A plataforma Azure Sphere foi projetada para criar dispositivos de Internet das Coisas baseados em microcontroladores com eficiência energética (MCU, unidade de microcontrolador) com subsistemas periféricos integrados. O Azure Sphere também é usado em equipamentos de varejo, por exemplo, por empresas como a Starbucks. Uma das funcionalidades da plataforma é o subsistema Pluton, projetado para fornecer hardware para criptografia, armazenamento de chaves privadas e execução de operações criptográficas complexas. O Pluton inclui um processador dedicado separado, mecanismo de criptografia, gerador de números aleatórios de hardware e armazenamento de chaves isolado.
Além disso, pode-se notar sobre uma tentativa de vender o conteúdo de repositórios privados do Microsoft GitHub para pessoas desconhecidas. O desconhecido afirmou que conseguiu baixar cerca de 500 GB de dados de repositórios privados da Microsoft hospedados no GitHub e forneceu capturas de tela e 1 GB de dados como prova. A maioria dos participantes considerou as evidências inconclusivas, uma vez que as capturas de tela eram fáceis de falsificar e os dados incluíam alguns conjuntos de arquivos sem sentido com texto, testes e trechos de código em chinês. Um dos engenheiros da Microsoft afirmou que o vazamento provavelmente é falso, já que a Microsoft tem uma regra segundo a qual os projetos que devem se tornar públicos em 30 dias são postados em repositórios privados no GitHub.
Fonte: opennet.ru