Хакер #305. Многошаговые SQL-инъекции
Microsoft выплатила ИБ-исследователям вознаграждения на сумму 374 300 долларов США в рамках конкурса Azure Sphere Security Research Challenge, который длился три месяца. В общей сложности экспертам удалось обнаружить 20 важных уязвимостей. Баги были исправлены с релизом обновлений 20.07, 20.08 и 20.09.
Всего в конкурсе приняли участие 70 исследователей из 21 страны мира. Они представили на суд компании 40 отчетов, 30 из которых привели к выпуску патчей, а 16 удостоились выплат по программе bug bounty (в общей сложности 374 300 долларов). Самое крупное выплаченное вознаграждение составило 48 000 долларов США, а наименьшее — 3 300 долларов США.
В рамках исследования компания Microsoft пригласила к участию ведущих мировых экспертов в области кибербезопасности, а также поставщиков решений для обеспечения безопасности, чтобы они попытались взломать продукты компании, используя виды атак, наиболее часто используемых злоумышленниками. Участникам конкурса был предоставлен комплект разработчика, прямая связь с командой обеспечения безопасности ОС, поддержка по электронной почте, а также публично доступный код ядра операционной системы.
Целью конкурса было сосредоточить внимание исследователей на том, что оказывает наибольшее влияние на безопасность клиентов. Поэтому экспертам было предоставлено шесть сценариев исследования с дополнительным вознаграждением до 20% сверх стандартного вознаграждения в рамках программы Azure Bounty (до 40 000 долларов), а также 100 000 долларов за два высокоприоритетных сценария.
Исследование проводилось в партнерстве с компаниями Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks и Zscaler.
Эксперты McAfee уже опубликовали детальный отчет о своих изысканиях, прочесть который можно в блоге компании. Исследователи заявили, что заработали 160 000 долларов, которые планируют пожертвовать на благотворительность. Так, им удалось получить root-доступ, объединив шесть ошибок, три из которых были признаны критическими. Также аналитики McAfee нашли ранее неизвестную уязвимость в ядре Linux.
Свои выводы уже представили и специалисты компании Cisco Talos. Они выявили более десятка проблем, включая выполнение произвольного кода, отказ в обслуживании (DoS), раскрытие информации и повышение привилегий.