Skip to main content

 

Teilnahmebedingungen für „Mitigation Bypass Bounty“ und „Bounty for Defense“

BESCHREIBUNG DES PROGRAMMS

Wir freuen uns, Ihnen im Namen von Microsoft den Start der Programme „Mitigation Bypass Bounty“ und „Bounty for Defense“ am 26. Juni 2013 anzukündigen. Mit diesen Programmen haben Einzelpersonen weltweit die Möglichkeit, eine neue Sicherheitsumgehung für unsere neueste Windows-Plattform zu melden. Sie sind außerdem dazu eingeladen, ein Abwehrkonzept einzureichen, das eine Technik blockieren würde, die zurzeit diese Schwachstelle ausnutzt und die neuesten Sicherheitsmaßnahmen der Plattform umgeht. Im Rahmen dieses Programms können qualifizierte Meldungen von Sicherheitsumgehungen und qualifizierte Abwehrtechniken mit jeweils bis zu $ 100.000, insgesamt also bis zu $ 200.000, entlohnt werden. Alle Prämien werden nach Ermessen von Microsoft ausgezahlt.

Wenn Sie eine neue Sicherheitsumgehung melden möchten, die Ihnen in einem aktiven Angriff begegnet ist, beachten Sie bitte, dass es ein ähnliches, eigenes Programm dafür gibt. Die hier aufgeführten Teilnahmebedingungen gelten für Personen, die ihre eigenen Ideen zu neuen Techniken für Sicherheitsumgehungen einreichen.

Wenn Sie Ihre eigene Idee einsenden, lesen Sie nachstehend die vollständigen Teilnahmebedingungen, und senden Sie Ihre Idee an secure@microsoft.com. Wenn Sie eine Technik melden möchten, die bei einem aktiven Angriff verwendet wird, müssen Sie sich zuerst per E-Mail an bounty@microsoft.com bei uns registrieren und weitere Details anschließend an secure@microsoft.com senden.

 

WORAUS BESTEHT EINE PRÄMIENBERECHTIGTE MELDUNG EINER SICHERHEITSUMGEHUNG?

Prämienberechtigte Meldungen enthalten ein Whitepaper oder ein kurzes Dokument, das die missbräuchliche Methode und eines der folgenden Szenarios erläutert:

  • Eine neue Methode, die eine echte Sicherheitslücke der Remotecodeausführung (Remote Code Execution; RCE) ausnutzt. Unter einer echten RCE-Sicherheitslücke wird eine RCE in einer Microsoft-Anwendung verstanden, für die möglicherweise noch kein Sicherheitsupdate ausgeführt wurde.
  • Eine Sicherheitslücke in Microsoft Hyper-V, die es einem virtuellen Gastcomputer ermöglicht, den Hypervisor zu kompromittieren, von einem virtuellen Gastcomputer auf den Host oder von einer Gast-VM auf einen anderen virtuellen Gastcomputer zu entkommen. Sicherheitslücken, für die ein Angreifer Vollzugriff auf einen Gastcomputer benötigt oder bei denen ein böswilliges Betriebssystem auf einem Gastcomputer ausgeführt wird, gehören dazu.
  • Eine neue Methode für eine Sicherheitsumgehung, die von einem Benutzermodus-Sandkasten eingeführt wurde. Dies beinhaltet z.B. Techniken, die symbolische Verknüpfungseinschränkungen umgehen können, die von einem Sandkasten oder anderen neuen Logikproblemen eingeführt wurden, die es einem Angreifer ermöglichen, dem Sandkasten zu entkommen und seine Berechtigungen zu erhöhen.

Prämienberechtigte Meldungen von Umgehungen dürfen in ihrem Exploit und Whitepaper bekannte missbräuchliche Methoden verwenden. Eine neue missbräuchliche Methode muss jedoch eine wesentliche und erforderliche Komponente für das Ermöglichen einer zuverlässigen Remotecodeausführung sein. Die neuen Aspekte der in der Meldung beschriebenen missbräuchlichen Methode müssen deutlich hervorstechen.

Die relevanten Produktversionen für Microsoft Hyper-V sind u.a. Windows Server 2012 R2, der neueste verfügbare Windows Server 2016, Windows 10 und der neueste verfügbare Windows 10 Insider Preview-Build. Hardware- und Firmwareprobleme sind zurzeit nicht mit inbegriffen.

Die Sicherheitslücke muss auf dem letzten Slow Ring von Windows 10 Insider Preview (WIP Slow) sowohl gemeldet als auch reproduziert werden, um für eine Prämie infrage zu kommen.

  • Wenn eine Meldung zum Zeitpunkt der Einreichung nur auf einem früheren Slow-Build von WIP reproduziert werden kann, nicht jedoch auf dem aktuellen Slow Build, dann ist die Meldung nicht prämienberechtigt.

Prämienberechtigte Meldungen von Umgehungen müssen in der Lage sein, eine Anwendung im Benutzermodus auszunutzen, welche die neuesten von der Windows-Plattform unterstützten Sicherheitsmaßnahmen verwendet. Weitere Informationen zu zutreffenden und nicht zutreffenden Meldungen von Sicherheitsumgehungen finden Sie im Abschnitt ZUTREFFENDE SICHERHEITSUMGEHUNGEN.

Prämienberechtigte Meldungen von Sicherheitsumgehungen müssen eine missbräuchliche Methode darstellen und beschreiben, die die folgenden Kriterien erfüllt:

  • Generisch: Methoden, die RCE ausnutzen, müssen auf mindestens eine allgemeine Sicherheitsklasse für Arbeitsspeicherbeschädigungen anwendbar sein.
  • Zuverlässig: Sie müssen eine niedrige Fehlerwahrscheinlichkeit aufweisen.
  • Angemessen: Die Anforderungen und erforderlichen Komponenten müssen angemessen sein.
  • Wirkungsstark: Sie müssen auf risikoreiche Anwendungsdomänen (Browser, Dokumentenleser usw.) anwendbar sein.
  • Benutzermodus: Methoden, die RCE ausnutzen, müssen auf Anwendungen im Benutzermodus anwendbar sein.
  • Neueste Version: Sie müssen zum Zeitpunkt der Einreichung auf unsere neuesten Produktversionen anwendbar sein.
  • Neu: Es muss sich um eine neuartige Methode handeln, die Microsoft nicht bekannt ist und in früheren Arbeiten noch nicht beschrieben wurde.

Alle qualifizierten Meldungen können mit bis zu $ 100.000 US-Dollar prämiert werden. Meldungen mit einem Proof of Concept, einem funktionierenden Exploit, einer detaillierten Ausarbeitung und/oder einem Whitepaper sind für höhere Prämien berechtigt.

Die Höhe der Prämien für berechtigte Hyper-V-Meldungen basieren auf Folgendem:

  • Qualifizierte Meldungen von Sicherheitslücken in Standardkomponenten werden mit bis zu $ 100.000 entlohnt.
  • Qualifizierte Meldungen von Sicherheitslücken in nicht standardmäßigen Komponenten werden mit bis zu $ 15.000 entlohnt.

 

WORAUS BESTEHT EINE PRÄMIENBERECHTIGTE MELDUNG FÜR „BOUNTY FOR DEFENSE“?

Bounty for Defense-Meldungen („Defense-Meldungen“), die Microsoft bereitgestellt werden, müssen die folgenden Kriterien erfüllen, um im Rahmen dieses Programms prämienberechtigt zu sein:

Prämienberechtigte Defense-Meldungen enthalten entweder ein technisches Whitepaper mit einer Beschreibung des Abwehrkonzepts, das eine missbräuchliche Methode verhindern könnte, die derzeit entweder die aktuellen Sicherheitsmaßnahmen der Plattform umgeht, oder eine Defense-Meldung, die Exploits blockiert, die nicht in der neuesten Plattform sind. Qualifizierte Defense-Meldungen sind, je nach Qualität und Eindeutigkeit des Abwehrkonzepts, zu einer Prämie von bis zu $ 100.000 berechtigt. Microsoft behält sich das Recht vor, alle Einsendungen abzulehnen, die nach unserem eigenen Ermessen die oben genannten Kriterien nicht erfüllen.

ZUTREFFENDE SICHERHEITSUMGEHUNGEN

Die folgende Tabelle stellt eine Liste der explizit zutreffenden Risikominderungen für den Benutzermodus und die Definition der Techniken bereit, die für jede Risikominderung zutreffen oder nicht. Meldungen von anderen, neuen missbräuchlichen Techniken für Sicherheitslücken, die nicht als unzutreffend angesehen und unten möglicherweise nicht aufgeführt werden, können trotzdem prämienberechtigt sein.

Diese Gültigkeit kann sich jedoch jederzeit ändern.

MinderungZutreffendNicht zutreffend
Ablaufsteuerungsschutz (Control Flow Guard, CFG)Techniken, die über einen Aufruf in einem Prozess mit aktiviertem CFG Kontrolle über den Anweisungszeiger ermöglichen
  • Übernehmen der Ablaufsteuerung über Beschädigung der Rückgabeadresse
  • Umgehungen im Zusammenhang mit Einschränkungen von undifferenziertem CFI (z.B. das Aufrufen von Funktionen außerhalb des Kontexts)
  • Nutzung von Nicht-CFG-Images
Arbitrary Code Guard (ACG)Techniken, die es ermöglichen, Code in einem Prozess dynamisch zu generieren oder zu ändern, für den ProcessDynamicCodePolicy(ProhibitDynamicCode = 1) aktiviert ist.
  • Umgehungen, die bei aktiviertem „AllowThreadOptOut“ funktionieren (AllowThreadOptOut = 1).
Code Integrity Guard(CIG)Techniken, die es ermöglichen, eine nicht ordnungsgemäß signierte Binärdatei in einen Prozess zu laden, für die Einschränkungen bei der Codesignatur aktiviert sind (z.B. ProcessSignaturePolicy).
  • Speichereinfügung nicht signierter Imagecodepages
Richtlinien für untergeordnete ProzesseTechniken, die aus einem Prozess mit Einschränkungen für die Erstellung untergeordneter Prozesse (mithilfe der Richtlinie für untergeordnete Prozesse) einen untergeordneten Prozess hervorbringen. 
Zufällige Anordnung des Layouts des Adressraums (Address Space Layout Randomization, ASLR)Techniken, die es generisch ermöglichen, 64-Bit-ASLRin-Anwendungen zu umgehen, die ASLR mit hoher Entropie und FORCE_RELOCATE_IMAGES aktivieren.
  • Einzelne Sicherheitslücken, die eine Offenlegung der Informationen aus dem Adressraum ermöglichen
  • Adressinferenz über GC
  • 32-Bit-ASLR-Umgehungen
Datenausführungsverhinderung (Data Execution Prevention, DEP)Techniken, mit denen Code aus nicht ausführbarem Speicher in einem Prozess mit aktivierter Datenausführungsverhinderung (immer aktiviert) ausgeführt werden kann.
  • Wiederverwendung von bereits ausführbarem Code
SEHOP/SafeSEHTechniken, die zum Übernehmen der Ablaufsteuerung genutzt werden können, indem ein SEH-Registrierungsdatensatz in einem Prozess/Image beschädigt wird, der SEHOP und Safe SEH aktiviert.
  • Techniken, die Wissen voraussetzen, wo sich ein Stapel befindet
  • Techniken, die nicht Safe SEH-Images benötigen
Zufällige Heap-Anordnung und MetadatenschutzTechniken, mit denen zuverlässige Meta- oder Benutzerdaten beschädigt werden können 

* Die experimentelle Return Flow Guard-Lösung wurde am 31.01.2017 aus dieser Liste entfernt.

HÄUFIG GESTELLTE FRAGEN UND PROGRAMMANFORDERUNGEN FÜR DAS BUG-BOUNTY-PROGRAMM

Es liegt in Ihrer Verantwortung, die unter den häufig gestellten Fragen aufgelisteten umfassenden Teilnahmebedingungen für das Microsoft-Bounty-Programm einzuhalten. Unter den häufig gestellten Fragen zum Microsoft-Bounty-Programm finden Sie genaue Anleitungen zu Folgendem:

  1. Melden von Fehlern an Microsoft
  2. Microsofts Selektierungs- und Bezahlprozess
  3. Teilnahmekriterien
  4. Richtlinien für die Prämienzahlungen
  5. Ihre Verpflichtungen hinsichtlich der Vertraulichkeit
  6. Microsofts Datenschutzrichtlinie und rechtliche Hinweise
  7. Weitere Fragen zu den verschiedenen Microsoft-Bounty-Programmen
  8. Coordinated Vulnerability Disclosure (Video zur koordinierten Veröffentlichung von Sicherheitsrisiken, in englischer Sprache)

DATENSCHUTZERKLÄRUNGEN

Lesen Sie auch die Datenschutzbestimmungen zu diesem Programm.

RECHTLICHE HINWEISE:

Besuchen Sie den Artikel mit den häufig gestellten Fragen, und scrollen Sie zum Abschnitt „Rechtliche Hinweise“, um zusätzliche Informationen zu den rechtlichen Vorschriften von Microsoft zu erhalten.

Vielen Dank für Ihre Teilnahme am Microsoft-Bug-Bounty-Programm!

MSRC-Blog

SRD-Blog

Teilnahmebedingungen für „Mitigation Bypass Bounty“ und „Bounty for Defense“