Η Microsoft πληρώνει πλέον τους ερευνητές ασφαλείας για την εύρεση κρίσιμων σημείων ευπάθειας σε οποιαδήποτε από τις διαδικτυακές της υπηρεσίες, ανεξάρτητα από το αν ο κώδικας γράφτηκε από τη Microsoft ή από τρίτο μέρος.
Αυτή η αλλαγή πολιτικής ανακοινώθηκε στο Black Hat Europe την Τετάρτη από τον Tom Gallagher, αντιπρόεδρο μηχανικής στο Microsoft Security Response Center.
Ως εξήγησε ο Gallagherοι εισβολείς δεν κάνουν διάκριση μεταξύ κώδικα Microsoft και στοιχείων τρίτων όταν εκμεταλλεύονται τρωτά σημεία, με αποτέλεσμα η εταιρεία να επεκτείνει το πρόγραμμα επιβράβευσης σφαλμάτων ώστε να καλύπτει όλες τις διαδικτυακές υπηρεσίες της Microsoft από προεπιλογή, με όλες τις νέες υπηρεσίες στο πεδίο εφαρμογής τους μόλις κυκλοφορήσουν.
Το πρόγραμμα τώρα περιλαμβάνει επίσης ελαττώματα ασφαλείας σε εξαρτήσεις τρίτων, συμπεριλαμβανομένων εμπορικών στοιχείων ή στοιχείων ανοιχτού κώδικα, εάν επηρεάζουν τις διαδικτυακές υπηρεσίες της Microsoft.
“Από σήμερα, εάν μια κρίσιμη ευπάθεια έχει άμεσο και αποδεδειγμένο αντίκτυπο στις διαδικτυακές μας υπηρεσίες, είναι επιλέξιμη για βραβείο bounty. Ανεξάρτητα από το αν ο κώδικας ανήκει και διαχειρίζεται η Microsoft, τρίτο μέρος ή είναι ανοιχτού κώδικα, θα κάνουμε ό,τι χρειάζεται για να αποκαταστήσουμε το πρόβλημα”, δήλωσε ο Gallagher είπε.
“Στόχος μας είναι να δώσουμε κίνητρα στην έρευνα σε τομείς υψηλότερου κινδύνου, ειδικά σε τομείς που είναι πιο πιθανό να εκμεταλλευτούν οι παράγοντες απειλών. Όπου δεν υπάρχουν προγράμματα επιβράβευσης, θα αναγνωρίσουμε και θα απονείμουμε τις διαφορετικές γνώσεις της ερευνητικής κοινότητας ασφάλειας όπου και αν τις οδηγήσει η τεχνογνωσία της.”
Η Microsoft έχει πληρώσει περισσότερα από 17 εκατομμύρια δολάρια σε βραβεία επιχορήγησης σε 344 ερευνητές ασφαλείας τους τελευταίους 12 μήνες και άλλα 16,6 εκατομμύρια δολάρια σε 343 ερευνητές ασφαλείας κατά το προηγούμενο έτος.
Η σημερινή ανακοίνωση αποτελεί μέρος της ευρύτερης Πρωτοβουλίας Secure Future της Microsoft, σχεδιασμένη να δίνει προτεραιότητα στην ασφάλεια σε όλες τις λειτουργίες της εταιρείας.
Στο πλαίσιο της ίδιας πρωτοβουλίας, η Microsoft απενεργοποίησε επίσης όλα τα στοιχεία ελέγχου ActiveX στις εκδόσεις Windows των εφαρμογών Microsoft 365 και Office 2024 και ενημέρωσε τις προεπιλογές ασφαλείας του Microsoft 365 για να αποκλείσει την πρόσβαση σε αρχεία SharePoint, OneDrive και Office μέσω πρωτοκόλλων ελέγχου ταυτότητας παλαιού τύπου.
Πιο πρόσφατα, άρχισε να κυκλοφορεί μια νέα δυνατότητα Teams για να αποκλείει τις προσπάθειες λήψης οθόνης κατά τη διάρκεια συσκέψεων και ανακοίνωσε σχέδια για την προστασία των εισαγωγών στο Entra ID από επιθέσεις ένεσης script.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
