Microsoft добавила в свою программу bug bounty локальные версии Exchange, SharePoint и Skype

Компания Microsoft заявила , что отныне локальные версии Exchange, SharePoint и Skype for Business могут участвовать в программе выплаты вознаграждений исследователям за обнаруженные уязвимости в приложениях и локальных сервисах (Applications and On-Premises Servers Bounty Program).

Максимальная сумма вознаграждения за поданные соответствующим образом отчеты об обнаруженных опасных уязвимостях в этих продуктах составляет $26 тыс.

За уязвимости подделки запросов сервера (SSRF), позволяющие злоумышленникам поделывать HTTP-запросы сервера к произвольным URL-адресам в Exchange, Microsoft предлагает награду на 20% выше. То же самое касается SSRF-уязвимостей в SharePoint.

Кроме того, на 30% повысилась сумма вознаграждения за уязвимости небезопасной десериализации управляемых пользователем данных, способные привести к удаленному выполнению кода на сервере.

За уязвимости, позволяющие записывать данные в управляемой пользователем области сервера, а также уязвимости обхода авторизации, с помощью которых неавторизованные злоумышленники могут осуществлять массовые атаки, Microsoft предлагает награду на 20% выше.

На 15% повысилась сумма вознаграждения за уязвимости в Exchange Emergency Mitigation Service (EEMS).