微软为身份服务推出漏洞奖励计划

翻译：360代码卫士团队

微软专为身份服务推出漏洞奖励计划。

首席安全组织经理 Philip Misner 表示，“微软在客户（Microsoft Account） 和企业（Azure Active Directory）身份解决方案投入重大。”但微软不仅是为了保护自身安全，漏洞奖励计划也涵盖对 OpenID 标准的执行。Misner 表示，微软之所以涵盖 OpenID，是因为其认证技术需要基于标准运行。

Misner 指出，安全研究员在身份服务中发现漏洞并私下提交给微软，在后者修复漏洞后再公开技术详情，则可获得500美元至10万美元的奖励。

漏洞奖励计划涵盖的登录工具如下：

•login.windows.net

•login.microsoftonline.com

•login.live.com

•account.live.com

•account.windowsazure.com

•account.activedirectory.windowsazure.com

•credential.activedirectory.windowsazure.com

•portal.office.com

•passwordreset.microsoftonline.com

•iOS 和安卓版本的Microsoft Authenticator

另外，研究人员所找的漏洞要求满足以下条件：

•找到原始的且此前未报告的严重或重要漏洞，能够在微软身份服务中复现。

•找到原始的且此前未报告的漏洞，可导致 Microsoft Account 或 Azure Active Directory Account 遭控制。

•在所列的 OpenID 标准中找到原始的且此前未报告的漏洞，或者和我们使用的认证产品、服务或库中实施的协议有关。

•可提交针对微软任意版本的 Authenticator 应用的漏洞，但只有能够在最新的公开版本中复现的漏洞才可获得奖励。

•包含对问题的说明和易于理解的简短复现步骤（这样便于尽快处理提交的报告，并支持所报告漏洞类型的最高付款）。

•包含漏洞的影响。

•包含攻击向量，如攻击向量并非显而易见的话。

不难看出微软为什么认为其身份服务对于赏金猎人而言是个很好的目标。微软拥有数亿注册用户，使得恶意人员对这块大蛋糕蠢蠢欲动。与此同时给白帽子更多的激励，不失为一个巧妙的众包方法。

据称，Active Directory 核心内还潜伏着虚拟网络操作系统 Banyan Vines 的残余，而人们也应该更多地关注这种易受攻击的产品，以防这款古老的产品卷土重来带来威胁。

原文链接

https://www.theregister.co.uk/2018/07/18/microsoft_identity_services_bounties/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。