Microsoft beloont nu beveiligingsonderzoekers voor het vinden van kritieke kwetsbaarheden in al zijn online diensten, ongeacht of de code door Microsoft of een derde partij is geschreven.

Deze beleidswijziging werd woensdag aangekondigd tijdens Black Hat Europe door Tom Gallagher, vicevoorzitter van engineering bij het Microsoft Security Response Center.

Gallagher legde uit dat aanvallers geen onderscheid maken tussen Microsoft-code en componenten van derden bij het misbruiken van kwetsbaarheden. Daarom breidt het bedrijf zijn bug bounty-programma uit om standaard alle online diensten van Microsoft te dekken. Nieuwe diensten zijn vanaf hun release direct inbegrepen.

Het programma omvat nu ook beveiligingslekken in afhankelijkheden van derden, zowel commercieel als open-source, als deze invloed hebben op de online diensten van Microsoft.

“Vanaf vandaag komt een kritieke kwetsbaarheid die directe en aantoonbare invloed heeft op onze online diensten in aanmerking voor een beloning, ongeacht of de code eigendom is van Microsoft, een derde partij of open-source is. We doen er alles aan om het probleem op te lossen,” aldus Gallagher.

“Ons doel is om onderzoek te stimuleren op de gebieden met het hoogste risico, vooral de gebieden die dreigingsactoren waarschijnlijk zullen uitbuiten. Waar geen bounty-programma’s bestaan, zullen we de diverse inzichten van de beveiligingsonderzoeksgemeenschap erkennen en belonen, waar hun expertise hen ook brengt.”

Microsoft heeft de afgelopen 12 maanden meer dan $17 miljoen aan beloningen uitbetaald aan 344 beveiligingsonderzoekers, en $16,6 miljoen aan 343 onderzoekers het jaar ervoor.

De aankondiging van vandaag maakt deel uit van Microsoft’s bredere Secure Future Initiative, gericht op het prioriteren van beveiliging binnen alle bedrijfsactiviteiten.

Als onderdeel van datzelfde initiatief heeft Microsoft ook alle ActiveX-besturingselementen uitgeschakeld in Windows-versies van Microsoft 365 en Office 2024-apps. Daarnaast zijn de beveiligingsstandaarden van Microsoft 365 bijgewerkt om toegang tot SharePoint, OneDrive en Office-bestanden via verouderde authenticatieprotocollen te blokkeren.

Onlangs heeft het bedrijf een nieuwe Teams-functie uitgerold om pogingen tot schermopname tijdens vergaderingen te blokkeren en plannen aangekondigd om Entra ID-aanmeldingen te beveiligen tegen scriptinjectie-aanvallen.