PROGRAMMBESCHREIBUNG:

Azure DevOps Services ist ein Clouddienst für die Zusammenarbeit bei der Codeentwicklung. Die Dienste umfassen den gesamten Entwicklungslebenszyklus und sollen Entwicklern dabei helfen, Software schneller und in höherer Qualität auszuliefern. Mithilfe von Azure DevOps Services und der engen Zusammenarbeit mit Sicherheitsexperten und der Benutzercommunity soll eine hohe Sicherheit gewährleistet werden. Sicherheitsexperten können Sicherheitsrisiken in Azure DevOps Services und Produkten ausfindig machen und unser Team darüber informieren. Für qualifizierte Einsendungen gibt es Belohnungen in Höhe von 500 bis 20.000 US-Dollar. Die Belohnungen variieren je nach Ermessen von Microsoft hinsichtlich des Schweregrads und der Auswirkung des Sicherheitsrisikos, der Qualität der Einsendung sowie den Microsoft-Nutzungsbedingungen für Bug-Bounty-Programme.

BETROFFENE DIENSTE UND PRODUKTE:

  • Azure DevOps Services (früher Visual Studio Team Services)
  • Neueste verfügbare Versionen von Azure DevOps Server und Team Foundation Server

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms von Microsoft ist es, bedeutende Sicherheitsrisiken zu erkennen, die direkte und nachweisbare Auswirkungen auf die Sicherheit der Kunden haben. Einsendungen von Sicherheitsrisiken müssen die folgenden Kriterien erfüllen, um beim Bug-Bounty-Programm berücksichtigt werden zu können:

  • Identifizieren eines zuvor nicht gemeldeten Sicherheitsrisikos in einem der betroffenen Dienste oder Produkte
  • Präzise und reproduzierbare Schritte (schriftlich oder im Videoformat)
    • Stellen Sie unseren Technikern die erforderlichen Informationen bereit, um das Problem schnellstmöglich reproduzieren, verstehen und beheben zu können. Dadurch können Einsendungen schnell verarbeitet werden und im Rahmen des Bug-Bounty-Programms berücksichtigt werden.

Jegliche Einsendungen können abgelehnt werden, wenn diese Kriterien nach Ermessen von Microsoft nicht erfüllt werden.

ERSTE SCHRITTE

Weitere Informationen zu Azure DevOps finden Sie auf unserer Dokumentationsseite.

Registrieren Sie sich für ein Azure DevOps-Konto, oder laden Sie eine kostenlose Testversion von Azure DevOps Server herunter.

WIE WERDEN DIE BELOHNUNGEN FESTGELEGT?

Die Belohnungen reichen von 500 bis 20.000 US-Dollar. Höhere Belohnungen sind basierend auf der Qualität und Komplexität der Einsendung nach eigenem Ermessen von Microsoft möglich. Bereitgestellte Berichte, die nicht im Rahmen eines Bug-Bounty-Programms berücksichtigt werden können, können dennoch veröffentlicht werden, wenn sie zur Behebung eines Sicherheitsrisikos beitragen.

Auswirkungen auf die Sicherheit

Berichtsqualität

Schweregrad

Kritisch

Wichtig

Mittel

Niedrig

Remoteausführung von Code

Hoch

Mittel

Niedrig

20.000 USD

15.000 USD

10.000 USD

15.000 USD

10.000 USD

5.000 USD

0 USD
0 USD

Rechteerweiterungen

Hoch

Mittel

Niedrig

8.000 USD

4.000 USD

3.000 USD

5.000 USD

2.000 USD

1.000 USD

0 USD

0 USD

Veröffentlichung von Informationen

Hoch

Mittel

Niedrig

8.000 USD

4.000 USD

3.000 USD

5.000 USD

2.000 USD

1.000 USD

0 USD
0 USD

Spoofing

Hoch

Mittel

Niedrig

Nicht zutreffend

3.000 USD

1.200 USD

500 USD

0 USD
0 USD

Manipulation

Hoch

Mittel

Niedrig

Nicht zutreffend

3.000 USD

1.200 USD

500 USD

0 USD

0 USD

Denial of Service
Hoch/Niedrig

Unzulässig

Nicht verfügbar: Sicherheitsrisiken, die die aufgeführten Auswirkungen auf die Sicherheit haben, können bei diesem Schweregrad nicht berücksichtigt werden.

Ein Bericht hoher Qualität enthält die Informationen, die ein Techniker zum schnellen Reproduzieren, Verstehen und Beheben des Problems benötigt. Diese Einsendung, die schriftlich oder in Form eines Videos übermittelt wird, umfasst also wichtige Hintergrundinformationen, eine Beschreibung des Fehlers sowie einen Proof of Concept (PoC). Hier finden Sie Beispiele für Berichte hoher bzw. niedriger Qualität.

Wir haben Verständnis dafür, dass einige Probleme extrem schwer zu reproduzieren und zu verstehen sind. Dies wird bei der Bewertung der Qualität einer Einsendung berücksichtigt.

BERÜCKSICHTIGTE SICHERHEITSRISIKEN

Im Folgenden finden Sie Beispiele für Sicherheitsrisiken, die zu einer oder mehreren der oben genannten Auswirkungen auf die Sicherheit führen können:

  • Websiteübergreifendes Scripting (Cross-Site Scripting, XSS)
  • Websiteübergreifende Anfragenfälschung (Cross-Site Request Forgery, CSRF)
  • Mandantenübergreifende Manipulation von Daten oder Zugriff auf diese Daten
  • Unsichere, direkte Verweise auf Objekte
  • Unsichere Deserialisierung
  • Sicherheitsrisiken durch Einschleusungen
  • Serverseitige Codeausführung
  • Erhebliche Fehlkonfiguration von Sicherheitskomponenten (wenn nicht durch Benutzer ausgelöst)
  • Verwenden von Komponenten mit bekannten Sicherheitsrisiken
  • Nicht autorisierte, mandantenübergreifende Manipulation von Daten oder Zugriff auf diese Daten

WELCHE REGELN GELTEN FÜR DAS TESTEN VON MICROSOFT ONLINE SERVICES, DIE BEIM BUG-BOUNTY-PROGRAMM BERÜCKSICHTIGT WERDEN?

Die folgenden Aktivitäten sind im Rahmen des Bug-Bounty-Programms für Azure DevOps nicht zulässig:

  • Alle Arten von Denial-of-Service-Tests
  • Durchführen automatisierter Tests von Diensten, die beträchtliche Mengen an Datenverkehr generieren
  • Zugriff auf Daten, die Ihnen nicht vollständig gehören Es ist beispielsweise zulässig und empfehlenswert, eine kleine Anzahl von Testkonten und/oder Testmandanten zu erstellen, um konto- oder mandantenübergreifenden Datenzugriff nachzuweisen. Es ist jedoch nicht zulässig, eines dieser Konten für den Zugriff auf die Daten eines berechtigten Kunden oder Kontos zu verwenden.
  • Überschreiten von PoC-Reproduktionsschritten bei Problemen mit der serverseitigen Ausführung (beispielsweise wenn Sie feststellen, dass der Systemadministratorzugriff mit SQL-Befehlen zulässig ist, die Ausführung von „xp_cmdshell“ allerdings nicht).
  • Versuch von Phishing- oder anderen Social Engineering-Angriffen gegen unsere Mitarbeiter Das Bug-Bounty-Programm ist auf technische Sicherheitsrisiken in den angegebenen Produkten und Diensten beschränkt.
  • Verwendung unserer Dienste auf eine Weise, die gegen die Nutzungsbedingungen für diesen Dienst verstößt

Neben diesen Verboten behält sich Microsoft das Recht vor, auf alle Aktionen im Netzwerk zu reagieren, die als schädlich eingestuft werden.

NICHT BERÜCKSICHTIGTE SICHERHEITSRISIKEN

Das Überprüfen jeder einzelnen Einsendung ist für das Microsoft Security Response Center sehr wichtig. Allerdings können einige Einsendungen und Arten von Sicherheitsrisiken beim Bug-Bounty-Programm nicht berücksichtigt werden. Im Folgenden finden Sie einige der häufig auftretenden Probleme mit niedrigem oder nicht relevantem Schweregrad, für die es keine Belohnungen gibt:

  • Öffentlich gemachte Sicherheitsrisiken, die Microsoft bereits gemeldet wurden oder einem Großteil der Sicherheitscommunity bekannt sind (siehe Azure DevOps-Entwicklercommunity als weitere Quelle)
  • Sicherheitsrisiken in anderen Version als der öffentlichen Vorschauversion von Azure DevOps und Azure DevOps Server
  • Sicherheitsrisiken, die auf Benutzerkonfigurationen oder -aktionen basieren. Beispiele:
    • Sicherheitsrisiken in von Benutzern generierten Inhalten
    • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
    • Fehlkonfiguration von Sicherheitskomponenten eines Diensts durch einen Benutzer wie beispielsweise die Aktivierung von HTTP-Zugriff auf ein Speicherkonto, um MITM-Angriffe (Man-in-the-Middle) zuzulassen
    • Fehlende HTTP-Sicherheitsheader (z. B. X-FRAME-OPTIONS) oder Cookiesicherheitsflags (z. B. „httponly“)
  • Sicherheitsrisiken im Zusammenhang mit Produkten von Drittanbietern. Beispiele:
    • Sicherheitsrisiken in Software von Drittanbietern, die von Azure bereitgestellt wird (z. B. Katalogimages und ISV-Anwendungen)
    • Sicherheitsrisiken in Erweiterungen von Drittanbietern
    • Sicherheitsrisiken in Plattformtechnologien, die nicht nur für Azure DevOps oder Azure DevOps Server gelten (z. B. IIS, OpenSSL usw.)
  • Nicht berücksichtigte Arten von Sicherheitsrisiken einschließlich der Folgenden:
    • Offenlegung von Informationen auf dem Server
    • Denial-of-Service-Angriffe (DoS)
    • Cookie-Replay-Sicherheitsrisiken
    • Sicherheitsrisiken, die verwendet werden, um Benutzer oder Mandanten aufzuzählen oder deren Existenz zu bestätigen
  • Sicherheitsrisiken in anderen Microsoft-Produkten. Beispiele:
    • Sicherheitsrisiken in Hyper-V wie z. B. Escapes zwischen virtuellen Computern. Diese Einsendungen werden möglicherweise im Rahmen der Bug-Bounty-Programme für Risikovermeidungen oder Hyper-V berücksichtigt.
    • Weitere Informationen finden Sie in der vollständigen Liste der Bug-Bounty-Programme für andere Produkte und Dienste.

Microsoft behält sich das Recht vor, nach eigenem Ermessen jegliche Einsendung abzulehnen, wenn diese in eine dieser Kategorien eingeordnet werden kann bzw. im Rahmen des Bug-Bounty-Programms eigentlich belohnt werden könnte.

WIE ÜBERMITTLE ICH MEINEN BERICHT?

Senden Sie Ihre vollständige Einsendung mithilfe des MSRC-Portals an Microsoft, wenn diese den Richtlinien für Einsendungen von Sicherheitsrisiken entspricht. Wir bitten Sie, die Prinzipien der koordinierten Offenlegung von Sicherheitsrisiken (Coordinated Vulnerability Disclosure) zu befolgen, wenn Sie Sicherheitsrisiken melden. Wir bemühen uns, nicht lesbare oder unvollständige Einsendungen zu klären.

Haben Sie Fragen? Wir stehen Ihnen immer unter secure@microsoft.com zur Verfügung.

BELOHNUNGEN FÜR EINSENDUNGEN

  • Microsoft behält sich das Recht vor, Einsendungen im Rahmen des Programms nach eigenem Ermessen zu berücksichtigen und zu belohnen.
  • Es gibt keine Einschränkungen hinsichtlich der Anzahl qualifizierter Einsendungen eines einzelnen Absenders oder der Anzahl von Belohnungen, die ein Absender möglicherweise empfängt.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung möglicherweise ebenfalls eine Belohnung.
  • Wenn eine Einsendung im Rahmen mehrerer Bug-Bounty-Programme berücksichtigt werden kann, erhalten Sie als Belohnung den höchsten Auszahlungsbetrag eines einzelnen Bug-Bounty-Programms.

RECHTLICHE HINWEISE

Weitere Informationen zu den Anforderungen und rechtlichen Richtlinien für das Bug-Bounty-Programm von Microsoft finden Sie in unseren Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm und auf der Seite für häufig gestellten Fragen im Zusammenhang mit unserem Programm.

REVISIONSVERLAUF

  • 17. Januar 2019: Start des Programms