Microsoft виплатила винагороду у розмірі $374 300 дослідникам у галузі інформаційної безпеки в рамках конкурсу Azure Sphere Security Research Challenge, який тривав протягом трьох місяців. У ході дослідження експертам вдалося виявити 20 важливих уразливостей у галузі безпеки, які були виправлені у випусках оновлень 20.07, 20.08 та 20.09. Загалом у конкурсі взяли участь 70 дослідників із 21 країни.
У рамках дослідження компанія Microsoft запросила до участі провідних світових експертів у галузі кібербезпеки, а також постачальників рішень для забезпечення безпеки, щоб вони спробували зламати пристрої, застосовуючи види атак, які найчастіше використовуються зловмисниками. Учасникам конкурсу було надано комплект розробника, прямий зв'язок із командою забезпечення безпеки ОС, підтримка електронною поштою, а також публічно доступний код ядра операційної системи.
Метою конкурсу було зосередити увагу дослідників на тому, що має найбільший вплив на безпеку клієнтів. Тому експертам було надано шість сценаріїв дослідження з додатковою винагородою до 20% понад стандартну винагороду в рамках програми Azure Bounty (до $40 000), а також $100 000 за два високопріоритетні сценарії.
Декілька учасників допомогли виявити потенційно небезпечні вразливості в Azure Sphere. У ході конкурсу було отримано 40 заявок, 30 з яких призвели до поліпшення продукту. Шістнадцять із них отримали право на винагороду, яка загалом склала $374 300.
Дослідження проводилося у партнерстві з компаніями Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks та Zscaler.
Джерело: habr.com