CDIC 2023

Microsoft เพิ่มรางวัลสำหรับนักวิจัยที่พบช่องโหว่ของ Microsoft 365

ข่าวดี สำหรับนักวิจัย หรือนักล่ารางวัลด้านความปลอดภัยที่ตรวจพบช่องโหว่ของบริการ Microsoft 365 และ Dynamics 365 สามารถได้รับเงินรางวัลจากเกณฑ์ใหม่สูงสุดที่ 26,000 เหรียญสหรัฐฯ จากเดิมที่เคยได้รับอยู่ที่ 20,000 เหรียญสหรัฐฯ เพิ่มขึ้นมากถึง 30% สำหรับสถานการณ์ช่องโหว่ที่เข้าเกณฑ์พิจารณา
การประกาศของ Microsoft Security Response Center (MSRC) ออกมาแล้วว่า
 
“เราสนับสนุนให้นักวิจัยมุ่งเน้นการวิจัยของพวกเขาเกี่ยวกับช่องโหว่ที่อาจส่งผลกระทบสูงสุดต่อความเป็นส่วนตัวและความปลอดภัยของลูกค้าด้วยการมอบรางวัลตามสถานการณ์ใหม่เหล่านี้”
 
นักวิจัยสามารถได้รับผลตอบแทนเป็นรางวัลที่พิจารณาจากตัวคูณของความรุนแรง ระหว่าง 15 – 30% ตามเกณฑ์ใหม่ที่ทีม MSRC กำหนด
 
สถานการณ์ความรุนแรงรางวัลสูงสุด
การเรียกใช้โค้ดจากระยะไกลผ่านการป้อนข้อมูลที่ไม่น่าเชื่อถือ
(CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”
30%
การเรียกใช้โค้ดจากระยะไกลผ่านการป้อนข้อมูลที่ไม่น่าเชื่อถือ
(CWE-502 “Deserialization of Untrusted Data”)
30%
การรั่วไหลของข้อมูลที่ละเอียดอ่อนระหว่าง Cross-Tenant และ Cross-Identity ที่ไม่ได้รับอนุญาต 1
(CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”)
20%
การรั่วไหลของข้อมูลที่มีความละเอียดอ่อน Cross-Identity โดยไม่ได้รับอนุญาต
(CWE-488 “Exposure of Data Element to Wrong Session”)
20%
ช่องโหว่ที่สามารถใช้ในการโจมตีเชิงปฏิบัติที่เข้าถึงทรัพยากรในลักษณะที่เลี่ยงการตรวจสอบสิทธิ์
(CWE-918 “Server-Side Request Forgery (SSRF)”)
15%
ล่าสุดเมื่อสัปดาห์ที่ผ่านมา Microsoft ได้ประกาศเพิ่มรายการของ Exchange, SharePoint และ Skype for Business เข้าร่วมในการชิงรางวัลโปรแกรมเดียวกันนี้ด้วย โดยจะได้รับรางวัลตั้งแต่ 500 – 26,000 เหรียญสหรัฐฯ ตามคุณภาพของรายงานช่องโหว่
 
สำหรับรายงานข้อมูลช่องโหว่ที่ไม่เข้าข่ายตามเกณฑ์ที่กำหนด ก็อาจจะมีสิทธิ์ที่จะได้รับรางวัลอื่นทั่วไปได้เช่นกัน ขึ้นอยู่กับดุลยพินิจของ Microsoft แต่เพียงผู้เดียว โดยจะพิจารณาจาก ความรุนแรง ผลกระทบ และคุณภาพของรายงานช่องโหว่นั้นๆ ที่ส่งเข้ามา
 
ที่มา :
 
 

About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner Hype Cycle ด้าน AI ปี 2023

Gartner ได้ออกคาดการณ์สำหรับการพัฒนาของ AI ในปี 2023 ซึ่งเจาะจงไปที่ Generative AI โดยหัวข้อแบ่งได้ 2 ส่วนคือ นวัตกรรมที่ได้รับการกระตุ้นจาก Generative AI และอีกส่วนคือ …

[รีวิว] Asus Zenbook 14X OLED รุ่น Sandstone Beige สีเบจ ให้ความรู้สึกเหมือนเซรามิก

Asus Zenbook 14X OLED มีการออกแบบที่โดดเด่นในสีเบจ Sandstone Beige เคลือบผิวด้วยเซรามิกรูปแบบใหม่ที่เราไม่เคยเห็นมาก่อนบนฝาแล็ปท็อป มีรูปทรงบางเบา ขนาดหน้าจอ 14.5” (2880×1800) OLED มาพร้อมพลังขับเคลื่อนชิป CPU …