Nos complace anunciar la incorporación de recompensas basadas en escenarios a la Programa de recompensas de Dynamics 365 y Ability Platform y Programa de recompensas M365. A través de estos nuevos premios de recompensas basados en escenarios, alentamos a los investigadores a centrar su investigación en las vulnerabilidades que tienen el mayor impacto potencial en la privacidad y seguridad del cliente. Los premios aumentan hasta en un 30% ($26,000 USD en complete) para presentaciones de escenarios elegibles.
Programa de recompensas de Dynamics 365 y Energy Platform
| Guión | Premio Máximo |
| Divulgación de información entre inquilinos | $20,000 |
Las presentaciones elegibles pueden calificar para bonificaciones del 15 al 30 % además de los premios de recompensas generales de M365 y se les otorgará el premio de calificación más alto.
| Guión | Premio Máximo |
| Ejecución remota de código a través de una entrada no confiable (CWE-94 “Control inadecuado de la generación de código (‘Inyección de código’)”) | +30% |
| Ejecución remota de código a través de una entrada no confiable (CWE-502 “Deserialización de datos no confiables”) | +30% |
| Fuga no autorizada de datos confidenciales entre inquilinos y entre identidades (CWE-200 “Exposición de información confidencial a un actor no autorizado”) | +20% |
| Fuga no autorizada de datos confidenciales entre identidades (CWE-488 “Exposición del elemento de datos a una sesión incorrecta”) | +20% |
| Vulnerabilidades de «agente confundido» que se pueden usar en un ataque práctico que accede a los recursos de una manera que elude la autenticación (CWE-918 “Falsificación de solicitud del lado del servidor (SSRF)”) | +15% |
Estos nuevos premios son parte de nuestros continuos esfuerzos para asociarnos con la comunidad de investigación de seguridad como parte del enfoque holístico de Microsoft para defenderse de las amenazas de seguridad. Si tiene alguna pregunta sobre estos nuevos escenarios o cualquier otro programa de incentivos de investigación de seguridad, envíenos un correo electrónico a bounty@microsoft.com.
Lynn Miyashita y Madeline Eckert, MSRC