PROGRAMMBESCHREIBUNG

Über das Bug-Bounty-Programm für Microsoft Hyper-V können Benutzer auf der ganzen Welt für das Melden von Sicherheitsrisiken, die sie in zulässigen Produktversionen von Microsoft Hyper-V gefunden haben, Prämien von bis zu 250.000 US-Dollar erhalten. Microsoft stellt Belohnungen für drei Arten von Sicherheitsrisiken aus: Remotecodeausführung (RCE), Veröffentlichung von Informationen (ID) und Denial-of-Service (DoS). Alle Belohnungen werden nach dem Ermessen von Microsoft ausgezahlt.
 
Dieses Bug-Bounty-Programm unterliegt diesen Bedingungen und den Microsoft-Nutzungsbedingungen für Bug-Bounty-Programme.

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Das Bug-Bounty-Programm von Microsoft belohnt hochwertige Einsendungen, die Ihre Nachforschungen zu Ihrer Entdeckung widerspiegeln. Das Ziel des Berichts ist es, Ihr Wissen und Ihre Kenntnisse den Microsoft-Entwicklern und -Technikern mitzuteilen, damit diese Ihren Fund schnell und effizient verstehen und reproduzieren können. Auf diese Weise verfügen sie über die Hintergrundinformationen und den Kontext zum Beheben des Sicherheitsrisikos.
 
Einsendungen von Sicherheitsrisiken an Microsoft müssen die folgenden Kriterien erfüllen, um bei der Vergabe von Belohnungen berücksichtigt werden zu können:
 
  • Identifizieren Sie ein bisher unbekanntes, nicht gemeldetes Sicherheitsrisiko mit Remotecodeausführung (RCE), Veröffentlichung von Informationen (ID) oder Denial-of-Service (DoS), das in den aufgeführten Microsoft Hyper-V-Technologien reproduziert werden kann, die im Programm berücksichtigt werden.
  • Formulieren Sie eine Beschreibung des Problems sowie präzise und leicht verständliche Schritte für die Reproduzierbarkeit. (Auf diese Weise können Einsendungen so schnell wie möglich verarbeitet und der höchste Betrag für diese Art von Sicherheitsrisiko ausgezahlt werden.)
  • Beschreiben Sie die Auswirkungen dieses Sicherheitsrisikos.
  • Beziehen Sie sich auf einen Angriffsvektor, sofern dieser nicht offensichtlich ist.

Umfang:

  • Hyper-V unter Windows 10 (neueste Builds im Windows Insider Preview-Slow Ring)
    • Wenn Sie ein Sicherheitsrisiko für Hyper-V unter Windows 10 einsenden, muss das Sicherheitsrisiko in den aktuellen Windows Insider Preview-Slow Builds reproduzierbar sein, damit es für eine Belohnung infrage kommen kann.
    • Wenn eine Einsendung in einem früheren Windows Insider Preview-Slow Build reproduziert werden kann, aber nicht zum Zeitpunkt der Einsendung im aktuellen Windows Insider Preview-Slow Build reproduzierbar ist, wird sie nicht für Belohnungen berücksichtigt.
  • Hyper-V unter Windows Server 2016 (neueste verfügbare Version)
  • Hyper-V-Isolationscontainer

Unzulässig:

  • Hardware- und Firmwareprobleme
  • Sicherheitsrisiken, die nur von einem Angreifer ausgelöst werden können, der Code auf dem Host ausführt
  • Sicherheitsrisiken, die auf Code von Drittanbietern basieren, z. B. Docker und Kubernetes

WIE WERDEN DIE BELOHNUNGEN FESTGELEGT?

Für qualifizierte Einsendungen kommen Belohnungen von 5.000 bis 250.000 US-Dollar infrage. Je nach Qualität des Berichts und Schweregrads des Sicherheitsrisikos sind höhere Belohnungen möglich. Sicherheitsexperten wird empfohlen, möglichst viele Daten bei der Einsendung bereitzustellen, um ihre Chancen auf die höchstmögliche Belohnung zu erhöhen. Für Sicherheitsrisiken, deren Erörterung übermäßige Interaktion mit dem Einsender erfordert, werden in der Regel kleinere Belohnungen ausgestellt.
 
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird nur die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung ebenfalls eine Belohnung.
  • Wenn eine Einsendung im Rahmen mehrerer Bug-Bounty-Programme berücksichtigt werden kann, erhalten Sie als Belohnung den höchsten Auszahlungsbetrag eines einzelnen Bug-Bounty-Programms.
  • Microsoft behält sich das Recht vor, jegliche Einsendung abzulehnen, wenn die oben genannten Kriterien nach dem Ermessen von Microsoft nicht erfüllt wurden.
Ein Bericht hoher Qualität enthält die Informationen, die ein Techniker zum schnellen Reproduzieren, Verstehen und Beheben des Problems benötigt. Dazu gehört in der Regeln ein präziser schriftlicher Bericht mit jeglichen erforderlichen Hintergrundinformationen, einer Beschreibung des Fehlers und einem Proof of Concept. Wir haben Verständnis dafür, dass einige Probleme extrem schwer zu reproduzieren und zu verstehen sind. Dies wird bei der Bewertung der Qualität einer Einsendung berücksichtigt.

STUFEN DES BUG-BOUNTY-PROGRAMMS

Wir haben den Umfang des Programms in Stufen aufgeteilt, um die Vergütungsstruktur übersichtlich zu unterteilen:
 
  • Stufe 1 umfasst Hypervisor und den Hostkernel
  • Stufe 2 umfasst Benutzermodusprozesse, einschließlich (aber nicht beschränkt auf) des VM-Workerprozesses und VM-Compute
  • Stufe 3 umfasst folgende Hyper-V-Komponenten: Legacy-Netzwerkadapter (1. Generation) und Fibre Channel-Adapter
     

Remoteausführung von Code

Ein RCE-Sicherheitsrisiko in Microsoft Hyper-V, das die Kompromittierung von Hypervisor durch eine Gast-VM, einen Escape aus einer Gast-VM zum Host oder einen Escape aus einer Gast-VM zu einer anderen ermöglicht, entspricht einer zulässigen Einsendung.
Art des Sicherheitsrisikos
Stufe
Proof of Concept
Funktionierender Exploit
Berichtsqualität
Auszahlungsbetrag (in US-Dollar)*
RCE
Tarif 1
Erforderlich
Ja
Hoch
250.000 USD
Nein
Hoch
200.000 USD
Nein Niedrig 50.000 USD
RCE
Tarif 2
Erforderlich
Ja
Hoch
150.000 USD
Nein
Hoch
100.000 USD
Nein Niedrig 25.000 USD
RCE
Stufe 3
Erforderlich
Ja
Hoch
20.000 USD
Nein
Hoch
15.000 USD
Nein Niedrig 5.000 USD
Denial-of-Service und Veröffentlichung von Informationen
Das Sicherheitsrisiko sollte eine der aufgeführten Folgen haben:
 
  • Absturz des Hostcomputers, der zu einem Denial-of-Service-Zustand führt
  • Führt zu einem Fehler beim Starten und Beenden von VMs
  • Ermöglicht das Abrufen vertraulicher Informationen vom Hostcomputer oder von anderen Gastcomputern
 
Art des Sicherheitsrisikos Tarif Proof of Concept Berichtsqualität Auszahlungsbetrag (in US-Dollar)
DoS Tarif 1 Erforderlich Hoch 15.000 USD
Niedrig 5.000 USD
Veröffentlichung von Informationen Tarif 1 Erforderlich Hoch 25.000 USD
Niedrig 5.000 USD
Tarif 2 Erforderlich Hoch 15.000 USD
Niedrig 5.000 USD

ZUSÄTZLICHE INFORMATIONEN

Weitere Informationen finden Sie in den FAQ.

REVISIONSVERLAUF

31. Mai 2017: Start des Programms
7. Dezember 2018: Revisionsverlauf wurde hinzugefügt
22. Januar 2019: Hyper-V-Isolationscontainer wurden zum Programmumfang hinzugefügt
15. März 2019: Beispiele wurden für die Definition der Stufe 2 hinzugefügt, und Sicherheitsrisiken bei Drittanbietercode wurden als unzulässig eingestuft.
13. April 2020: Remotefx® wurde aus dem Geltungsbereich des Bug-Bounty-Programms entfernt.
 

Vielen Dank für Ihre Teilnahme am Bug-Bounty-Programm von Microsoft.