Koelman.IT

Stay Hungry, Stay Foolish 💡


Microsoft biedt nu tot $40.000 voor bepaalde .NET-kwetsbaarheden

Microsoft heeft zijn .NET bug bounty-programma uitgebreid en de beloningen verhoogd tot $40.000 voor bepaalde kwetsbaarheden in .NET en ASP.NET Core.

Madeline Eckert, senior programmamanager voor Onderzoeksbeloningen bij Microsoft, legt uit dat deze wijzigingen bedoeld zijn om beter recht te doen aan de complexiteit van het opsporen en benutten van .NET-kwetsbaarheden.

“We zijn verheugd om belangrijke updates aan het Microsoft .NET Bounty Program aan te kondigen. Deze veranderingen breiden de reikwijdte uit, vereenvoudigen de beloningsstructuur en bieden geweldige stimulansen voor beveiligingsonderzoekers,” aldus Eckert.

“Het .NET Bounty Program biedt nu beloningen tot $40.000 voor kwetsbaarheden die .NET en ASP.NET Core (inclusief Blazor en Aspire) beïnvloeden.”

Vanaf vandaag betaalt Microsoft tot $40.000 voor kritieke kwetsbaarheden in remote code execution en privilege escalation, $30.000 voor het omzeilen van essentiële beveiligingsfuncties, en tot $20.000 voor kritieke denial-of-service bugs op afstand.

Het .NET bug bounty-programma is ook uitgebreid om beter de kwetsbaarheden van het .NET-framework te dekken en omvat nu:

  • Alle ondersteunde versies van .NET en ASP.NET,
  • Nabijgelegen technologieën zoals F#,
  • Ondersteunde versies van ASP.NET Core voor .NET Framework,
  • Sjablonen geleverd met ondersteunde versies van .NET en ASP.NET Core,
  • GitHub-acties in de .NET en ASP.NET Core repositories.

Eerder dit jaar verhoogde Microsoft de bounty-beloningen tot $30.000 voor AI-kwetsbaarheden in Power Platform en Dynamics 365 diensten en producten.

In februari kondigde het bedrijf verhoogde uitbetalingen aan voor gematigd ernstige Microsoft Copilot (AI) beveiligingsfouten en een verdubbeling van de beloning voor alle Copilot bounty-awards om AI-onderzoek te stimuleren.

Tijdens de jaarlijkse Ignite-conferentie vorig jaar lanceerde Microsoft ook de Zero Day Quest, een hackevenement gericht op cloud- en AI-producten en platforms, met $4 miljoen aan beloningen.

Deze initiatieven maken deel uit van het Secure Future Initiative (SFI) van het bedrijf, een overkoepelend plan voor cybersecurity engineering gelanceerd in november 2023, na een kritisch rapport van de Cyber Safety Review Board van het Department of Homeland Security, waarin werd gesteld dat de “veiligheidscultuur van Microsoft ontoereikend was en een herziening vereist.”

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.