Microsoft выплатила вознаграждение в размере $374300 исследователям
в области информационной безопасности в рамках конкурса Azure
Sphere Security Research Challenge, который длился на протяжении
трех месяцев. В ходе исследования экспертам удалось обнаружить 20
важных уязвимостей в области безопасности, которые были исправлены
в выпусках обновлений 20.07, 20.08 и 20.09. Всего в конкурсе
приняли участие 70 исследователей из 21 страны.
В рамках исследования компания Microsoft пригласила к участию
ведущих мировых экспертов в области кибербезопасности, а также
поставщиков решений для обеспечения безопасности, для того чтобы
они попытались взломать устройства, применяя виды атак, наиболее
часто используемых злоумышленниками. Участникам конкурса был
предоставлен комплект разработчика, прямая связь с командой
обеспечения безопасности ОС, поддержка по электронной почте, а
также публично доступный код ядра операционной системы.
Целью конкурса было сосредоточить внимание исследователей на том,
что оказывает наибольшее влияние на безопасность клиентов. Поэтому
экспертам было предоставлено шесть сценариев исследования с
дополнительным вознаграждением до 20% сверх стандартного
вознаграждения в рамках программы Azure Bounty (до $40 000), а
также $100 000 за два высокоприоритетных сценария.
Несколько участников помогли обнаружить потенциально опасные
уязвимости в Azure Sphere. В ходе конкурса было получено в общей
сложности 40 заявок, 30 из которых привели к улучшению продукта.
Шестнадцать из них получили право на вознаграждение, которое в
общей сложности составило $374 300.
Исследование проводилось в партнерстве с компаниями Avira, Baidu
International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc
(Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7
Computing, McAfee, Palo Alto Networks and Zscaler.