Microsoft lanceert Zero Day Quest hackevenement met $4 miljoen aan beloningen.
Microsoft kondigde vandaag op zijn jaarlijkse Ignite-conferentie in Chicago, Illinois aan dat het zijn bug bounty-programma’s uitbreidt met Zero Day Quest, een nieuw hackevenement gericht op cloud- en AI-producten en -platforms.
De Zero Day Quest begint vandaag met een onderzoeksuitdaging waarbij inzendingen van kwetsbaarheden voor specifieke scenario’s vermenigvuldigde beloningen kunnen opleveren en mogelijk in aanmerking komen voor het hackevenement op locatie in 2025 (alleen op uitnodiging) in Redmond, Washington. Deze uitdaging staat open voor iedereen en loopt van 19 november 2024 tot 19 januari 2025.
Om de AI-beveiliging verder te verbeteren, zegt Microsoft dat het vanaf vandaag ook dubbele beloningen zal bieden voor AI-kwetsbaarheden die door beveiligingsonderzoekers worden gerapporteerd, en dat het hen directe toegang zal geven tot de Microsoft AI-ingenieurs en het AI Red Team van het bedrijf.
“Dit nieuwe hackevenement zal het grootste in zijn soort zijn, met een extra $4 miljoen aan potentiële beloningen voor onderzoek naar gebieden met grote impact, met name cloud en AI,” zei Tom Gallagher, VP van Engineering bij het Microsoft Security Response Center (MSRC).
“Zero Day Quest biedt nieuwe mogelijkheden voor de beveiligingsgemeenschap om samen te werken met Microsoft-ingenieurs en beveiligingsonderzoekers – waarmee de beste geesten op het gebied van beveiliging worden samengebracht om kennis te delen, te leren en gemeenschap op te bouwen terwijl we samenwerken om iedereen veilig te houden.”
Dit maakt deel uit van Microsoft’s Secure Future Initiative (SFI), een inspanning voor cybersecurity engineering die in november 2023 werd gelanceerd om de cybersecuritybescherming over zijn producten te versterken, net op tijd om een vernietigend rapport voor te zijn dat werd uitgebracht door de Cyber Safety Review Board van het Amerikaanse Ministerie van Binnenlandse Veiligheid, waarin werd gesteld dat de “beveiligingscultuur van het bedrijf ontoereikend was en een ingrijpende verandering nodig heeft.”
Zoals door BleepingComputer werd gemeld, bevond Microsoft zich in mei het doelwit van aanvallen door Chinese hackers, waarbij de aanvallers meer dan 60.000 e-mails van accounts van het Amerikaanse Ministerie van Buitenlandse Zaken stalen nadat ze het cloudgebaseerde Exchange-e-mailplatform van het bedrijf hadden gehackt.
Beveiligingsfouten die meerdere andere Microsoft-producten en -platforms beïnvloeden, zijn ook gebruikt in grootschalige aanvallen. Bijvoorbeeld, in recente jaren hebben veel dreigingsactoren (inclusief ransomware-bendes) misbruik gemaakt van de kwetsbaarheden ProxyShell, ProxyNotShell en ProxyLogon om tienduizenden online blootgestelde Exchange-servers aan te vallen.
“Als onderdeel van ons Secure Future Initiative (SFI) zullen we kritieke kwetsbaarheden transparant delen via het Common Vulnerabilities and Exposures (CVE) programma, zelfs als er geen actie van de klant vereist is,” voegde Gallagher toe.
“Lessen uit de Zero Day Quest zullen binnen Microsoft worden gedeeld om de cloud- en AI-beveiliging te verbeteren – standaard, door ontwerp en in operaties.”
Vandaag deelde Microsoft ook meer informatie over de nieuwe beveiligingsfunctie voor beheerderbescherming, beschikbaar in preview op Windows 11-apparaten en ontworpen om toegang tot kritieke systeembronnen te blokkeren met extra Windows Hello-authenticatieprompts.
“Sinds de lancering van de SFI hebben we de equivalent van 34.000 fulltime ingenieurs gericht op de hoogste prioriteit beveiligingsuitdagingen,” voegde David Weston, de Vice President voor Enterprise en OS Security van het bedrijf, vandaag toe.
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----