PROGRAMMBESCHREIBUNG

Microsoft Azure umfasst Cloud Computing-Dienste, die stetig erweitert werden und mit denen Unternehmen Anwendungen mithilfe ihrer bevorzugten Tools und Frameworks in einem massiven globalen Netzwerk erstellen, verwalten und bereitstellen können. Das Bug-Bounty-Programm für Microsoft Azure lädt Experten aus aller Welt dazu ein, Sicherheitsrisiken in Azure-Produkten und -Diensten zu identifizieren und unserem Team mitzuteilen. Qualifizierte Einsendungen können mit Belohnungen in Höhe von 500 bis 40.000 US-Dollar und im Fall der Azure Security Lab-Herausforderung bis zu 300.000 US-Dollar belohnt werden.

Die Belohnungen variieren je nach Ermessen von Microsoft hinsichtlich des Schweregrads und der Auswirkung des Sicherheitsrisikos, der Qualität der Einsendung sowie den Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm.

ZULÄSSIGE DIENSTE UND PRODUKTE

Die meisten für Azure-Produkte eingereichten Sicherheitsrisiken sind für dieses oder ein ähnliches Bug-Bounty-Programm von Microsoft zulässig. Im Folgenden finden Sie eine Auswahl aus Azure-Produkten mit hoher Priorität, die einen guten Ausgangspunkt für die Suche nach Fehlern bieten.

Azure-Produkte mit hoher Priorität

Eine zusätzliche Liste der zulässigen Domänen und Informationen zu unzulässigen Produkten und Arten von Sicherheitsrisiken finden Sie in den Abschnitten „Zulässige Domänen und Endpunkte“ und „Unzulässig“ weiter unten auf dieser Seite.

Ähnliche Cloud-Bug-Bounty-Programme

Einsendungen zur Identifikation von Sicherheitsrisiken in Office 365, Microsoft-Konten, Azure DevOps und anderen Onlinediensten werden gemäß unserer dienst- oder produktspezifischen Cloud-Bug-Bounty-Programme geprüft. Dazu gehören das Bug-Bounty-Programm für Microsoft Online Services, das Bug-Bounty-Programm für Microsoft Identity, das Bug-Bounty-Programm für Azure DevOps und das Bug-Bounty-Programm für Microsoft Dynamics 365. Alle Einsendungen werden auf Gültigkeit geprüft. Sie müssen sich also keine Gedanken darüber machen, ob Ihre Einsendung zulässig ist. Ihr Bericht wird beim entsprechenden Programm berücksichtigt.

ERSTE SCHRITTE

Erstellen Sie ein Testkonto und Testmandanten für Sicherheitstests und weitere Tests.

Fügen Sie nach Möglichkeit die Zeichenfolge „MSOBB“ in Ihren Kontonamen oder Mandantennamen ein, damit identifiziert werden kann, dass es Sicherheitsforschungen verwendet wird.

AZURE SECURITY LAB-SZENARIOHERAUSFORDERUNG

Azure Security Lab ist ein Teil von Azure, der für die Untersuchung und Ermittlung von Sicherheitsrisiken durch registrierte Experten vorgesehen ist, die in der Standardcloud nicht praktikabel wären. Diese Experten reichen ihre Funde für das Bug-Bounty-Programm von Microsoft ein. Beispielsweise ist die Suche und Nutzung von Sicherheitsrisiken in Azure Security Lab sicher (und wird unterstützt), mit denen ein Guest-to-Host-Escape oder Denial-of-Service-Angriff durchgeführt werden kann.

In Azure Security Lab (nur für registrierte Experten)

Wir möchten Experten dazu anregen, die folgenden Szenarios mit hohem Wert in Azure Security Lab zu untersuchen:

 

Szenario

Belohnung

Virtual Machine Escape:

Demonstrieren Sie einen funktionierenden Exploit für den Zugriff auf den Host über eine Gast-VM.

300.000 USD

Denial-of-Service-Angriff auf den Host:

Demonstrieren Sie eine Methode für einen persistenten Denial-of-Service-Angriff auf den Azure-Host.

50.000 USD

Die Anzahl verfügbarer Hosts in Azure Security Lab wurde eingeschränkt, sodass der Zugriff nur über die Anwendung erfolgt. Weitere Informationen zu den Führungslinien zur Verwendung dieses Forschungsbereichs und zur Anmeldung für die exklusive Verwendung einer Host- und Forschungs-VM für einen Zeitraum von 30 Tagen finden Sie hier. Belohnungen für das Azure Security Lab-Szenario werden nur für oben beschriebenen Exploitszenarios angeboten. Diese müssen innerhalb von Azure Security Lab durchgeführt werden. Alle anderen inner- oder außerhalb des Labs ermittelten Sicherheitsrisiken sind für Belohnungen des öffentlichen Bug-Bounty-Programms für Azure berechtigt.

Externe Angriffe auf Azure Security Lab (für alle zugänglich)

Experten sind dazu eingeladen, die folgenden Szenarios mit hohem Wert zu untersuchen:

Szenario

Belohnung

Erhöhung der Rechte:

Verschaffen Sie sich Administratorzugriff auf das Azure Security Lab-Abonnement*

300.000 USD

*Die Abonnement-ID lautet 70556a62-c57e-4f91-95e9-3e856f99e3cd. Zulässige Einsendungen müssen Schritte zur Reproduktion Ihrer Entdeckung beinhalten.

WIE WERDEN DIE BELOHNUNGEN FESTGELEGT?

Die Belohnungen reichen von 500 bis 40.000 US-Dollar und bei Szenarios im Azure Security Lab sogar bis zu 300.000 US-Dollar. Je nach Auswirkung und Schweregrad des Sicherheitsrisikos und der Qualität der Einsendung sind höhere Belohnungen nach Ermessen von Microsoft möglich. Bereitgestellte Berichte, die nicht im Rahmen eines Bug-Bounty-Programms berücksichtigt werden können, können dennoch veröffentlicht werden, wenn sie zur Behebung eines Sicherheitsrisikos beitragen. 

Auswirkungen auf die Sicherheit

Berichtsqualität

Schweregrad

Kritisch

Wichtig

Mittel

Niedrig

Remoteausführung von Code

Hoch

Mittel

Niedrig

40.000 USD

20.000 USD

10.000 USD

30.000 USD

20.000 USD

10.000 USD

0 USD

0 USD

Rechteerweiterungen

Hoch

Mittel

Niedrig

40.000 USD

30.000 USD

20.000 USD

10.000 USD

4.000 USD

2.000 USD

0 USD

0 USD

Veröffentlichung von Informationen

Hoch

Mittel

Niedrig

12.000 USD

6.000 USD

4.500 USD

7.500 USD

3.000 USD

1.500 USD

0 USD

0 USD

Spoofing

Hoch

Mittel

Niedrig

Nicht zutreffend

3.000 USD

1.200 USD

500 USD

0 USD

0 USD

Manipulation

Hoch

Mittel

Niedrig

Nicht zutreffend

3.000 USD

1.200 USD

500 USD

0 USD

0 USD

Denial of Service

Hoch/Niedrig

Unzulässig

Nicht verfügbar: Sicherheitsrisiken, die die aufgeführten Auswirkungen auf die Sicherheit haben, können bei diesem Schweregrad nicht berücksichtigt werden.

Ein Bericht hoher Qualität enthält die Informationen, die ein Techniker zum schnellen Reproduzieren, Verstehen und Beheben des Problems benötigt. Diese Einsendung, die schriftlich oder in Form eines Videos übermittelt wird, umfasst also wichtige Hintergrundinformationen, eine Beschreibung des Fehlers sowie einen angefügten Proof of Concept (PoC). Hier finden Sie Beispiele für Berichte von hoher und niedriger Qualität.

 

Wir haben Verständnis dafür, dass einige Probleme schwer zu reproduzieren und zu verstehen sind. Dies wird bei der Bewertung der Qualität einer Einsendung berücksichtigt.

ZULÄSSIGE SICHERHEITSRISIKEN

Im Folgenden finden Sie Beispiele für Sicherheitsrisiken, die zu einer oder mehreren der oben genannten Auswirkungen auf die Sicherheit führen können:

  • Websiteübergreifende Skripts (Cross-Site Scripting, XSS)
  • Websiteübergreifende Anfragenfälschung (Cross-Site Request Forgery, CSRF)
  • Mandantenübergreifende Manipulation von Daten oder Zugriff auf diese Daten
  • Unsichere, direkte Verweise auf Objekte
  • Unsichere Deserialisierung
  • Sicherheitsrisiken durch Einschleusungen
  • Serverseitige Codeausführung
  • Erhebliche Fehlkonfiguration von Sicherheitskomponenten (wenn nicht durch Benutzer ausgelöst)
  • Verwenden von Komponenten mit bekannten Sicherheitsrisiken

ZULÄSSIGE DOMÄNEN UND ENDPUNKTE

Die folgenden Domänen und Endpunkte sind für Belohnungen durch das Bug-Bounty-Programm berechtigt. Unterdomänen der berücksichtigten Domäne kommen ebenfalls infrage. Das Testen auf Sicherheitsrisiken sollte nur in Mandantenabonnements/-konten durchgeführt werden, deren Besitzer der Programmteilnehmer ist.

Überprüfen Sie vor dem Testen die „WHOIS“-Datensätze für alle aufgelösten IP-Adressen, um den Besitz durch Microsoft zu überprüfen. Einige Drittanbieter hosten für Microsoft Websites unter den Microsoft-Unterdomänen. Diese Drittanbieter werden bei dem Bug-Bounty-Programm nicht berücksichtigt.

„Mandant“ bezieht auf einen Mandanten in einem Ihrer Abonnements. Führen Sie bitte keine Tests für andere Mandanten durch.

Azure-Endpunkte
  • portal.azure.com
  • manage.windowsazure.com
  • azure.microsoft.com/blog
  • tip.passwordreset.microsoftonline.com (Identity-Programm)
  • syncfabric.windowsazure.com
  • management.azure.com
  • reportingservice.activedirectory.windowsazure.com
  • admin.microsoft.com
  • graph.microsoft.com
  • enterpriseregistration.windows.net
  • management.core.windows.net
  • graph.windows.net
  • adminwebservice.microsoftonline.com
  • provisioningapi.microsoftonline.com
  • <Mandant>.scm.azurewebsites.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.ftp.azurewebsites.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.vault.azure.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.azure-mobile.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.batch.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.batchapps.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.trafficmanager.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.media.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.task.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.watask.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.workflow.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.biztalk.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.servicebus.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.blob.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.table.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.queue.core.windows.net (ausgenommen benutzergenerierter Inhalte)
  • <Mandant>.files.core.windows.net (ausgenommen benutzergenerierter Inhalte)

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms von Microsoft ist es, bedeutende Sicherheitsrisiken zu erkennen, die direkte und nachweisbare Auswirkungen auf die Sicherheit der Kunden haben. Einsendungen von Sicherheitsrisiken müssen die folgenden Kriterien erfüllen, um beim Bug-Bounty-Programm berücksichtigt werden zu können:

  • Identifizieren eines zuvor nicht gemeldeten Sicherheitsrisikos in einem der betroffenen Dienste oder Produkte
  • Fügen Sie deutliche, präzise und reproduzierbare Schritte in Schrift oder Videoformat ein, damit unsere Techniker das Problem schnell verstehen, reproduzieren und beheben können.
  • Dadurch können Einsendungen schnellstmöglich bearbeitet werden, und die höheren Belohnungen werden unterstützt.

Je nachdem, ob die Einsendung nach Ermessen den oben genannten Kriterien entspricht, kann Microsoft eine Einsendung akzeptieren oder ablehnen.

WELCHE REGELN GELTEN FÜR DAS TESTEN VON MICROSOFT ONLINE SERVICES, DIE BEIM BUG-BOUNTY-PROGRAMM BERÜCKSICHTIGT WERDEN?

Das Bug-Bounty-Programm für Azure ist auf technische Sicherheitsrisiken in Azure-Produkten und -Diensten beschränkt. Aktivitäten, die auf Social Engineering basieren oder die Verfügbarkeit von Azure-Diensten beeinträchtigen, sind nicht erlaubt. Dies gilt für Folgendes:

  • Jegliche Art von Denial-of-Service-Tests außerhalb von Azure Security Lab
  • Durchführen automatisierter Tests von Diensten, die beträchtliche Mengen an Datenverkehr generieren
  • Zugriff auf Daten, die Ihnen nicht vollständig gehören Es ist beispielsweise zulässig und empfehlenswert, eine kleine Anzahl von Testkonten und/oder Testmandanten zu erstellen, um konto- oder mandantenübergreifenden Datenzugriff nachzuweisen. Es ist jedoch nicht zulässig, eines dieser Konten für den Zugriff auf die Daten eines berechtigten Kunden oder Kontos zu verwenden.
  • Überschreiten von PoC-Reproduktionsschritten bei Problemen mit der serverseitigen Ausführung (wenn Sie beispielsweise feststellen, dass der Systemadministratorzugriff mit SQL-Befehlen zulässig ist, die Ausführung von „xp_cmdshell“ allerdings nicht).
  • Versuche von Phishing oder anderen Social-Engineering-Angriffen auf unsere Mitarbeiter. Der Geltungsbereich dieses Programms beschränkt sich auf technische Sicherheitsrisiken in den angegebenen Microsoft Online Services.
  • Verwendung unserer Dienste auf eine Weise, die gegen die Nutzungsbedingungen für diesen Dienst verstößt

Neben diesen Verboten behält sich Microsoft das Recht vor, auf alle Aktionen im Netzwerk zu reagieren, die als schädlich eingestuft werden.

UNZULÄSSIGE EINSENDUNGEN UND SICHERHEITSRISIKEN

Das Überprüfen jeder einzelnen Einsendung ist für das Microsoft Security Response Center sehr wichtig. Allerdings können einige Einsendungen und Arten von Sicherheitsrisiken beim Bug-Bounty-Programm nicht berücksichtigt werden. Im Folgenden finden Sie einige der häufig auftretenden Probleme mit niedrigem oder nicht relevantem Schweregrad, für die es keine Belohnungen gibt:

  • Öffentlich gemachte Sicherheitsrisiken, die Microsoft bereits gemeldet wurden oder einem Großteil der Sicherheitscommunity bekannt sind
  • Nicht berücksichtigte Arten von Sicherheitsrisiken einschließlich der Folgenden:
    • Veröffentlichung von serverseitigen Informationen wie IP-Adressen, Servernamen und den meisten Stapelüberwachungen
    • CSRF-Fehler mit geringen Auswirkungen (beispielsweise Abmeldung)
    • Denial-of-Service-Probleme (außer in Azure Security Lab)
    • Übernahmen von Unterdomänen
    • Cookie-Replay-Sicherheitsrisiken
    • URL-Umleitungen (außer in Kombination mit einem weiteren Sicherheitsrisiko, das zu einem schwerwiegenderen Sicherheitsrisiko führt)
  • Sicherheitsrisiken, die auf Benutzerkonfigurationen oder -aktionen basieren. Zum Beispiel:
    • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
    • Sicherheitsrisiken durch vom Benutzer erstellte Inhalte oder Anwendungen
    • Fehlkonfiguration von Sicherheitskomponenten eines Diensts durch einen Benutzer wie beispielsweise die Aktivierung von HTTP-Zugriff auf ein Speicherkonto, um MITM-Angriffe (Man-in-the-Middle) zuzulassen
    • Fehlende HTTP-Sicherheitsheader (z. B. X-FRAME-OPTIONS) oder Cookiesicherheitsflags (z. B. „httponly“)
    • Sicherheitsrisiken, die verwendet werden, um Benutzer oder Mandanten aufzuzählen oder deren Existenz zu bestätigen
  • Sicherheitsrisiken im Zusammenhang mit Produkten von Drittanbietern. Zum Beispiel:
    • Sicherheitsrisiken in Software von Drittanbietern, die von Azure bereitgestellt wird (z. B. Katalogimages und ISV-Anwendungen)
    • Sicherheitsrisiken im Zusammenhang mit Plattformtechnologien, die nicht eindeutig für die betreffenden Online Services relevant sind (z. B. Apache- oder IIS-Sicherheitsrisiken)
  • Sicherheitsrisiken in Webanwendungen, die nur nicht unterstützte Browser und Plug-Ins betreffen
  • Schulungen, Dokumentationen, Beispiele und Communityforen zu Azure-Produkten und -Diensten sind für Belohnungen nicht zulässig, es sei denn, sie werden anderweitig unter „Zulässige Domänen und Endpunkte“ aufgeführt. Zum Beispiel:
    • azure.microsoft.com/de-de/services
    • docs.microsoft.com/de-de/azure
    • docs.microsoft.com/de-de/azure/*
    • docs.microsoft.com/de-de/cli/azure/*
    • github.com/Azure-Samples/
    • github.com/microsoft/iot-samples
    • azure.microsoft.com/de-de/resources/samples
    • feedback.azure.com/forums/*
       

Wir behalten uns das Recht vor, nach eigenem Ermessen jegliche Einsendung abzulehnen, selbst wenn diese in eine dieser Kategorien von Sicherheitsrisiken eingeordnet werden kann oder im Rahmen des Bug-Bounty-Programms eigentlich berücksichtigt werden könnte.

WIE ÜBERMITTLE ICH MEINEN BERICHT?

Senden Sie Ihre vollständige Einsendung mithilfe des MSRC-Portals an Microsoft, wenn diese den Richtlinien für Einsendungen von Sicherheitsrisiken entspricht. Wir bitten Sie, die Prinzipien der koordinierten Offenlegung von Sicherheitsrisiken (Coordinated Vulnerability Disclosure) zu befolgen, wenn Sie Sicherheitsrisiken melden. Wir bemühen uns, nicht lesbare oder unvollständige Einsendungen zu klären.

Haben Sie Fragen? Wir stehen Ihnen immer unter secure@microsoft.com zur Verfügung.

BELOHNUNGEN

Microsoft behält sich das Recht vor, Einsendungen im Rahmen des Programms nach eigenem Ermessen zu berücksichtigen und zu belohnen.

  • Es gibt keine Einschränkungen hinsichtlich der Anzahl qualifizierter Einsendungen eines einzelnen Absenders oder der Anzahl von Belohnungen, die ein Absender möglicherweise empfängt.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung ebenfalls eine Belohnung.
  • Wenn eine Einsendung im Rahmen mehrerer Bug-Bounty-Programme berücksichtigt werden kann, erhalten Sie als Belohnung den höchsten Auszahlungsbetrag eines einzelnen Bug-Bounty-Programms.

GESCHÄFTSBEDINGUNGEN

Weitere Informationen zu den Anforderungen und rechtlichen Richtlinien für das Bug-Bounty-Programm von Microsoft finden Sie in unseren Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm und auf der Seite für häufig gestellte Fragen im Zusammenhang mit unserem Programm.

Wird meine Einsendung belohnt, wenn ich bei einem Microsoft Azure-Penetrationstest ein Sicherheitsrisiko finde?

Es liegt in Ihrer Verantwortung, die vereinheitlichten Microsoft Cloud Services-Regeln für Penetrationstests einzuhalten. Eine Organisation oder eine Einzelperson muss mithilfe des MSRC-Portals und gemäß der Richtlinien für die Einsendung von Sicherheitsrisiken einen Bericht an Microsoft senden, der auf ein Sicherheitsrisiko hinweist, das den Vorgaben des Bug-Bounty-Programms entspricht.

Vielen Dank für Ihre Teilnahme am Bug-Bounty-Programm von Microsoft.

REVISIONSVERLAUF

  • September 2014: Start des Programms
  • April 2015: Aktualisierung des Programmumfangs
  • August 2015: Aktualisierung des Programmumfangs und Umbenennung des Programms von „Online Services“ in „Bug-Bounty-Programm für Microsoft Cloud Services“
  • 17. Juli 2018: Aufnahme identitätsbezogener Sicherheitsrisiken in das Microsoft Identity Bounty Program (https://www.microsoft.com/msrc/bounty-microsoft-identity)
  • 7. Dezember 2018: Aktualisierung der Programmeinführung, Links zu häufig gestellten Fragen und Abschnitt für den Revisionsverlauf hinzugefügt.
  • 17. Januar 2019: Aktualisierung des Umfangs von Belohnungen basierend auf der Auswirkung, dem Schweregrad und der Berichtsqualität. Zusammenfassung der gültigen Berichte hinzugefügt.
  • 17. Juni 2019: Das Bug-Bounty-Programm für Azure wurde vom Programm für Microsoft Online Services getrennt, zulässige Azure-Dienste wurden hervorgehoben, und der Umfang der Belohnungen wurde erhöht. Schulungen, Dokumentationen, Beispiele und Communitywebsites wurden als unzulässig eingestuft. Aktualisierung des Leitfadens für Penetrationstests
  • 29. August 2019: Erklärung von Azure Security Lab-Szenarios. „Persistent“ wurde zum DoS-Szenario hinzugefügt, und „to another guest VM“ (zu einer anderen Gast-VM) wurde aus dem Szenario für „VM Escape“ entfernt.