微软WIP漏洞奖励计划新增基于攻击场景的奖励类别，最高$10万

作为 WIP 计划的一部分，微软邀请符合条件的研究人员从 WindowsInsider Preview Dev Channel 中查找漏洞，奖金金额从500美元 (DoS) 到5000美元 (RCE) 不等。

不过，现在研究人员可以基于五种攻击场景赢得2万美元到10万美元不等的奖金。如果研究人员能够展示在远程攻击场景中，未认证攻击者能够在无需用户交互的情况下实现非沙箱任意代码执行后果，则可获得最高奖金。

如果研究人员能够展示远程攻击者在无需用户交互或用户交互很少（比如说服目标访问恶意网站）的情况下，获得对用户个人数据（如文件、照片或邮件）的访问权限，则可获得5万美元的奖金。

如果攻击者能够展示在远程攻击场景下，无需用户交互即可导致数据破坏或持久的 DoS 条件，则可获得3万美元的奖金。

至于本地攻击向量，如果研究人员能够展示攻击者在无需用户交互或者用户交互很少的情况下展示沙箱逃逸的攻击场景，以及在无需用户访问的情况下从沙箱进程访问用户个人信息的攻击场景，则可获得最高2万美元的奖金。

微软还表示做出了一些改进措施，使漏洞评估和奖金审计的速度更快。

MRSC 的高级项目经理 Jarek Stanley 在博客文章中解释称，“为了更快地对 WIP 奖励计划漏洞报告的分类和审计并最终更快地发放奖金，我们要求所有的 Windows 漏洞报告说明所提交漏洞是否可以在 WIP Dev Channel 上重现并在报告中包含构建和修订字符串。为进一步加快漏洞报告的审计，我们建议通过 MSRCResearcher Portal 向微软提交漏洞。我们已经改进了门户的用户体验，简化用于分类、评估和发放赏金的数据沟通过程。如果你认为自己找到的漏洞符合基于攻击场景的漏洞奖励，则可通过 MSRCResearcher Portal 的新字段在报告中指出该场景。”

https://www.securityweek.com/microsoft-adds-scenario-based-rewards-windows-insider-preview-bounty-program

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    点个 “在看” ，加油鸭~