Najavljeno je značajno proširenje Microsoft-ovog programa Microsoft 365 (M365) Bounty.
Ovo ažuriranje naglašava Microsoftovu posvećenost poboljšanju sigurnosti svog softverskog ekosistema i podsticanju globalne saradnje u otkrivanju ranjivosti.
Novi dodaci M365 Bounty programu
Prošireni opseg uvodi četiri nova Viva proizvoda u program:
- Funkcija kontrole pristupa
- Glint
- Učenje
- Puls
Ovi dodaci imaju za cilj poboljšanje sigurnosti Viva paketa, koji je dio Microsoft-ove platforme za iskustvo zaposlenika.
Viva se neprimetno integriše sa Microsoft Teams i drugim M365 aplikacijama, nudeći alate za angažovanje zaposlenih, učenje i produktivnost.
Istraživači sada mogu prijaviti ranjivosti u ovim komponentama pod kategorijama „Kritično“ i „Važno“, u zavisnosti od ozbiljnosti.
Štaviše, Yammer, dugogodišnja komponenta programa, preimenovan je u Viva Engage kao dio Microsoftovih stalnih napora da objedini svoju liniju proizvoda Viva.
Nagrade se kreću od 500 do 27.000 USD, u zavisnosti od ozbiljnosti i kvaliteta podnesenih izvještaja o ranjivosti.
Kritične ranjivosti u novododatim Viva proizvodima ispunjavaju uslove za maksimalnu nagradu.
Ovo podstiče istraživače da se usredsrede na pitanja sa velikim uticajem koja mogu predstavljati značajan rizik za korisnike ako se ne riješe. Prijave moraju ispunjavati Microsoftove stroge kriterijume navedene u njihovim Bounty odredbama i uslovima da bi se kvalifikovali za nagrade.
Tehnička fokusna područja
M365 Bounty program poziva istraživače da ispitaju specifične domene i krajnje tačke unutar Microsoft 365 usluga .
Uz uključivanje Viva proizvoda, oblasti kao što su mehanizmi kontrole pristupa, integritet podataka i autentifikacija korisnika će vjerovatno biti ključni ciljevi za procjenu ranjivosti.
Cilj programa je da identifikuje nedostatke koji bi mogli da ugroze bezbjednost podataka ili funkcionalnost sistema na primjer:
- U Kontroli pristupa funkcijama, istraživači mogu ispitati kako se dozvole primjenjuju na različite korisničke uloge.
- U Viva Learningu, mogli bi analizirati integracije sa eksternim sistemima za upravljanje učenjem (LMS) ili protokolima za razmjenu podataka.
- Pulse i Glint, koji se fokusiraju na povratne informacije i analitiku zaposlenih, mogu zahtijevati ispitivanje potencijalnog curenja podataka ili ranjivosti neovlaštenog pristupa.
Istraživači sigurnosti zainteresovani za učešće mogu posjetiti Microsoftovu zvaničnu stranicu M365 Bounty programa za detaljne smjernice.
Prijave moraju uključivati jasan kod za dokaz koncepta ili korake za reprodukciju identifikovane ranjivosti. Izvještaji se ocjenjuju na osnovu njihovog uticaja, iskoristivosti i jasnoće.
Izvor: CyberSecurityNews