Microsoft đã trả 374 USD tiền thưởng cho các nhà nghiên cứu bảo mật thông tin như một phần của Thử thách nghiên cứu bảo mật Azure Sphere, kéo dài trong ba tháng. Trong quá trình nghiên cứu, các chuyên gia đã có thể phát hiện ra 300 lỗ hổng bảo mật quan trọng đã được sửa trong các bản cập nhật 20, 20.07 và 20.08. Tổng cộng có 20.09 nhà nghiên cứu đến từ 70 quốc gia đã tham gia cuộc thi.
Là một phần của nghiên cứu, Microsoft đã mời các chuyên gia an ninh mạng và nhà cung cấp giải pháp bảo mật hàng đầu thế giới thử hack các thiết bị bằng các kiểu tấn công mà kẻ tấn công thường sử dụng nhất. Các đối thủ cạnh tranh được cung cấp bộ công cụ phát triển, liên lạc trực tiếp với nhóm bảo mật hệ điều hành, hỗ trợ qua email và mã hạt nhân có sẵn công khai cho hệ điều hành.
Mục tiêu của cuộc thi là tập trung sự chú ý của các nhà nghiên cứu vào điều gì có tác động lớn nhất đến sự an toàn của khách hàng. Do đó, các chuyên gia đã được đưa ra sáu kịch bản nghiên cứu với phần thưởng bổ sung cao hơn tới 20% so với phần thưởng Azure Bounty tiêu chuẩn (lên tới 40 USD), cũng như 000 USD cho hai kịch bản có mức độ ưu tiên cao.
Một số người đóng góp đã giúp phát hiện các lỗ hổng nguy hiểm tiềm tàng trong Azure Sphere. Cuộc thi đã nhận được tổng cộng 40 bài dự thi, trong đó có 30 bài nhằm cải tiến sản phẩm. 374 người trong số họ đủ điều kiện nhận giải thưởng với tổng trị giá 300 USD.
Nghiên cứu được thực hiện với sự hợp tác của Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks và Zscaler.
Nguồn: www.habr.com