本ブログは、On-Premises Servers Products are Here! Introducing the Applications and On-Premises Servers Bug Bounty Program の抄訳版です。最新の情報は原文を参照してください。
マイクロソフトは、オンプレミスの Exchange、SharePoint、Skype for Business をMicrosoft Applications and On-Premises Servers Bounty Program (英語情報) に追加しました。
この拡張されたプログラムを通じて、お客様の保護に協力いただくために、研究者の皆様が影響力の大きいセキュリティ脆弱性を発見と報告を奨励しています。私たちは、対象となる報告に、最大$ 26,000 USD の報奨金を提供しています。現在、以下の製品が報奨金の対象に加わります。
- オンプレミスの Exchange
- オンプレミスの SharePoint
- オンプレミスの Skype for Business
それだけではありません!報奨は、お客様のセキュリティに最も影響を与える可能性の高い分野の研究に対して、最高の賞を提供するハイインパクトシナリオも含まれています。
| セキュリティへの影響 | 深刻度加算 |
|---|---|
| EXCHANGE のみ: Server Side Request Forgery により、攻撃者は任意の URL に対してサーバー側の HTTP 要求を行うことができる。 | 20% |
| SHAREPOINT のみ: 認証された Server Side Request Forgery により、攻撃者は認証されたサーバー サイドの HTTP 要求を任意の URL に行うことができる。 | 20% |
| ユーザーが制御可能なデータの安全でないデシリアライゼーションより、サーバー上でリモートにコードが実行される。 | 30% |
| サーバー上のユーザー制御の場所にユーザーが制御するデータの任意のファイル書き込み。 | 20% |
| 認証バイパスにより、未認証のまま脆弱性を多く悪用される。 | 20% |
| Exchange Emergency Mitigation Service (EEMS) 内の脆弱性 | 15% |
対象となる範囲と報奨金額の詳細については、Microsoft Applications and On-Premises Servers Bounty Program (英語情報) を参照してください。
マイクロソフトのバグ報奨金プログラムは、お客様のセキュリティを保護するために、グローバルなセキュリティ研究コミュニティとのパートナーシップに投資する数多くの方法のうちの 1 つにすぎません。新しいオンプレミス サーバーの範囲に関するご質問、またはその他のセキュリティ研究インセンティブ プログラムに関する一般的なお問い合わせは、bounty@microsoft.com (英語) または jpsecure@microsoft.com (日本語)までお問い合わせください。
Madeline Eckert , Lynn Miyashita, MSRC