I utilfredshed med Microsofts Bug Bounty-program har en forsker afsløret sårbarheder og publiceret en POC-kode. POC Koden er den der beviser at sikkerhedshullet kan udnyttes. Normalt er det sådan at Microsoft og andre får f.eks. 3 måneder til at rette fejlen, men i dette tilfælde blev forskeren utålmodig i sin utilfredshed over Microsoft Bug Bounty programmet.
Forskeren har nemlig publiceret en proof-of-concept exploitkode til en 0-dagssårbarhed i Windows, der påvirker alle understøttede versioner af Windows, inklusive Windows 10, Windows 11 og tillige Windows Server 2022.
Sårbarheden blev dog rettet som en del af novembers måneds tirsdagspatch fra Microsoft, men forskeren har afdækket, at rettelsen ikke er tilstrækkelig. Sårbarheden gør det således fortsat muligt for en trusselsaktør med adgang til en kompromitteret enhed at hæve privilegierne. Med dette kan Medarbejderhævn, malware og Ransomware sprede sig inden for hele netværket.
Utilfreds dusør jæger
Afsløringen af denne exploit-koden kommer fordi forskeren, som ofte er White Hack hackere, er utilfreds med Microsofts Bug Bounty-program. I en udtalelse siger forskeren, at Microsofts belønning for fund af sårbarheder har været ’meget dårlige’ siden april 2020, og at sikkerhedsmiljøet ikke ville afsløre sårbarheder, hvis Microsoft tog situationen med honoreringen alvorligt. Tilsyneladende har den pågældende forsker tidligere været i stand til at tjene 10.000 dollar på 0-dagssårbarheder, men i denne omgang fik han kun 1.000 dollar, hvilket han selv bekendtgør på Twitter.
Microsoft siger til BleepingComputer, at de er opmærksomme på offentliggørelsen af sårbarheden, men nedtoner alvoren, eftersom en angriber skal have adgang og evnen til at køre kode på et offers maskine, for at sårbarheden kan udnyttes. Sårbarheden, der har id’et CVE-2021-41379, har da også fået 5,5 på CVSS-skalaen, men det har ifølge researchere ved Cisco Talos ikke forhindret trusselsaktører i at begynde at udnytte den. Den er effektiv for USB infektioner og for kørsel via Phishing kampagner. Mon ikke at Microsoft vil rette sårbarheden i en kommende Patch Tuesday, som næste gang er tirsdag den 14. december.
Her kan man se hvor mange penge der er i de forskellige programmer indenfor 3 hovedkategorier:
Cloud Programs
Program Name | Start date | Last Updated | End date | Eligible entries | Bounty Range |
---|---|---|---|---|---|
Microsoft Azure | 2014-09-23 | 2021-10-18 | Ongoing | Vulnerability reports on Microsoft Azure cloud services | Up to $60,000 USD |
Microsoft Identity | 2018-07-17 | 2019-10-23 | Ongoing | Vulnerability reports on Identity services, including Microsoft Account, Azure Active Directory, or select OpenID standards. | Up to $100,000 USD |
Xbox | 2020-01-30 | 2020-01-30 | Ongoing | Vulnerability reports on the Xbox Live network and services | Up to $20,000 USD |
Microsoft Online Services | 2014-09-23 | 2019-08-05 | Ongoing | Vulnerability reports on applicable Microsoft cloud services, including Office 365 | Up to $20,000 USD |
Microsoft Azure DevOps Services | 2019-01-17 | 2019-01-17 | Ongoing | Vulnerability reports on applicable Microsoft Azure DevOps Services | Up to $20,000 USD |
Microsoft Dynamics 365 and Power Platform | 2019-07-17 | 2021-10-13 | Ongoing | Vulnerablility reports on applicable Microsoft Dynamics 365 and Power Platform applications | Up to $20,000 USD |
Microsoft .NET | 2016-09-01 | 2020-11-20 | Ongoing | Vulnerability reports on .NET Core and ASP.NET Core RTM and future builds (see link for program details) | Up to $15,000 USD |
Platform Programs
Program Name | Start Date | Last Updated | End Date | Eligible Entries | Bounty Range |
---|---|---|---|---|---|
Microsoft Hyper-V | 2017-05 -31 | 2020-04-13 | Ongoing | Critical remote code execution, information disclosure and denial of services vulnerabilities in Hyper-V | Up to $250,000 USD |
Microsoft Windows Insider Preview | 2017-07-26 | 2020-08-27 | Ongoing | Critical and important vulnerabilities in Windows Insider Preview | Up to $100,000 USD |
Microsoft Applications | 2021-03-24 | 2021-07-19 | Ongoing | Critical and important vulnerabilities in Microsoft Applications | Up to $30,000 USD |
Windows Defender Application Guard | 2017-07-26 | 2017-07-26 | Ongoing | Critical vulnerabilities in Windows Defender Application Guard | Up to $30,000 USD |
Microsoft Edge (Chromium-based) | 2019-08-20 | 2021-10-21 | Ongoing | Critical, important, and moderate vulnerabilities in Microsoft Edge (Chromium-based) Dev, Beta, and Stable channels | Up to $30,000 USD |
Office Insider | 2017-03-15 | 2018-12-07 | Ongoing | Vulnerabilities on Office Insider | Up to $15,000 USD |
ElectionGuard | 2019-10-18 | 2021-03-31 | Ongoing | Vulnerabilities in ElectionGuard | Up to $15,000 USD |
Defense & Grant Programs
Program Name | Start Date | Last Updated | End Date | Eligible Entries | Bounty Range |
---|---|---|---|---|---|
Mitigation Bypass and Bounty for Defense | 2013-06-26 | 2018-10-02 | Ongoing | Novel exploitation techniques against protections built into the latest version of the Windows operating system. Additionally, defensive ideas that accompany a Mitigation Bypass submission. | Up to $100,000 USD (plus up to an additional $100,000) |
Grant: Microsoft Identity | 2020-01-09 | 2020-04-09 | Ongoing | This project grant awards up to $75,000 USD for approved research proposals that improve the security of the Microsoft Identity solutions in new ways for both Consumers (Microsoft Account) and Enterprise (Azure Active Directory). | Up to $75,000 USD |
SIKE Cryptographic Challenge | 2021-06-09 | 2021-06-09 | Ongoing | This challenge awards up to $50,000 USD for solutions that break the SIKE algorithm for two sets of toy parameters. | Up to $50,000 USD |
Kilder: Bleebingcomputer, Microsoft og ICARE.DK