PROGRAMMBESCHREIBUNG

Im Rahmen des Bug-Bounty-Programms für Microsoft Online Services sind Entwickler aus der ganzen Welt dazu eingeladen, Sicherheitsrisiken in bestimmten Microsoft-Domänen und -Endpunkten zu identifizieren und zu übermitteln. Qualifizierte Einsendungen werden mit Belohnungen in Höhe von 500 bis 20.000 US-Dollar vergütet.

Die Belohnungen variieren je nach Ermessen von Microsoft hinsichtlich des Schweregrads und der Auswirkung des Sicherheitsrisikos, der Qualität der Einsendung sowie den Microsoft-Nutzungsbedingungen für Bug-Bounty-Programme.

BETROFFENE DIENSTE UND PRODUKTE

Die meisten im Rahmen des Bug-Bounty-Programms identifizierten und übermittelten Sicherheitsrisiken betreffen folgende Dienste:

  • Office 365
  • Microsoft-Konto

Eine detaillierte Liste finden Sie auf dieser Seite im Abschnitt „Betroffene Domänen und Endpunkte“.

Ähnliche Bug-Bounty-Programme für Cloud Services

Einsendungen von Sicherheitsrisiken in Azure, Azure DevOps und auf die Identität bezogenen Microsoft Online Services werden in den Bug-Bounty-Programmen für Azure, Azure DevOps, Microsoft Dynamics 365 und Microsoft Identity berücksichtigt. Sie müssen sich keine Gedanken machen, zu welchem Bug-Bounty-Programm Ihre Einsendung passt, da bei allen Einsendungen geprüft wird, ob diese für Belohnungen infrage kommen. Ihr Bericht wird beim entsprechenden Programm berücksichtigt.

ERSTE SCHRITTE

Erstellen Sie ein Testkonto und Testmandanten für Sicherheitstests und weitere Tests.

  • Sie können Ihr Testkonto für Office 365-Dienste hier einrichten.
  • Für das Microsoft-Konto können Sie Ihr Testkonto hier einrichten.
  • Weitere Informationen zu Office 365 finden Sie auf der Dokumentationsseite hier.

Fügen Sie bei Ihrem Kontonamen und/oder Mandantennamen wenn möglich immer die Zeichenfolge „MSOBB“ ein, um diese(n) als für das Bug-Bounty-Programm verwendetes Konto zu identifizieren.

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms von Microsoft ist es, bedeutende technische Sicherheitsrisiken zu erkennen, die direkte und nachweisbare Auswirkungen auf die Sicherheit der Kunden haben. Einsendungen von Sicherheitsrisiken müssen die folgenden Kriterien erfüllen, um beim Bug-Bounty-Programm berücksichtigt werden zu können:

  • Identifizieren eines zuvor nicht gemeldeten Sicherheitsrisikos in einem der betroffenen Dienste oder Produkte
  • Präzise und reproduzierbare Schritte (schriftlich oder im Videoformat)
    • Das Bereitstellen der für die schnelle Reproduktion, das Verständnis und das Beheben des Problems erforderlichen Informationen ermöglicht unseren Technikern die schnellstmögliche Verarbeitung von Einsendungen und wird mit höheren Auszahlungsbeträgen belohnt.

Jegliche Einsendung kann ablehnt werden, wenn die oben genannten Kriterien nach dem Ermessen von Microsoft nicht erfüllt wurden.

WIE WERDEN DIE BELOHNUNGEN FESTGELEGT?

Die Belohnungen reichen von 500 bis 20.000 US-Dollar. Je nach Schweregrad und Auswirkung des Sicherheitsrisikos, der Qualität der Einsendung sowie dem alleinigen Ermessen von Microsoft sind auch höhere Auszahlungen möglich. Die Einsendungen von Entwicklern, die nicht für die Belohnungen dieser Bug-Bounty-Programme infrage kommen, können dennoch der Öffentlichkeit zur Verfügung gestellt werden, wenn sie dazu beitragen, das Sicherheitsrisiko zu verringern. Außerdem erhalten diese Personen Punkte für das Researcher Recognition Program.

Auswirkungen auf die Sicherheit

Berichtsqualität

Schweregrad

Kritisch

Wichtig

Mittel

Niedrig

Remoteausführung von Code

Hoch

Mittel

Niedrig

20.000 USD

15.000 USD

10.000 USD

15.000 USD

10.000 USD

5.000 USD

0 USD

0 USD

Rechteerweiterungen

Hoch

Mittel

Niedrig

8.000 USD

4.000 USD

3.000 USD

5.000 USD

2.000 USD

1.000 USD

0 USD

0 USD

Veröffentlichung von Informationen

Hoch

Mittel

Niedrig

8.000 USD

4.000 USD

3.000 USD

5.000 USD

2.000 USD

1.000 USD

0 USD

0 USD

Spoofing

Hoch

Mittel

Niedrig

Nicht zutreffend

3.000 USD

1.200 USD

500 USD

0 USD

0 USD

Manipulation

Hoch

Mittel

Niedrig

Nicht zutreffend

3.000 USD

1.200 USD

500 USD

0 USD

0 USD

Denial of Service

Hoch/Niedrig

Unzulässig

Nicht verfügbar: Sicherheitsrisiken, die die aufgeführten Auswirkungen auf die Sicherheit haben, können bei diesem Schweregrad nicht berücksichtigt werden.

Ein Bericht hoher Qualität enthält die Informationen, die ein Techniker zum schnellen Reproduzieren, Verstehen und Beheben des Problems benötigt. Diese Einsendung, die schriftlich oder in Form eines Videos übermittelt wird, umfasst also wichtige Hintergrundinformationen, eine Beschreibung des Fehlers sowie einen angefügten Proof of Concept (PoC). Hier finden Sie Beispiele für Berichte hoher bzw. niedriger Qualität.

Wir haben Verständnis dafür, dass einige Probleme extrem schwer zu reproduzieren und zu verstehen sind. Dies wird bei der Bewertung der Qualität einer Einsendung berücksichtigt.

ZULÄSSIGE SICHERHEITSRISIKEN

Im Folgenden finden Sie Beispiele für Sicherheitsrisiken, die zu einer oder mehreren der oben genannten Auswirkungen auf die Sicherheit führen können:

  • Websiteübergreifendes Scripting (Cross-Site Scripting, XSS)
  • Websiteübergreifende Anfragenfälschung (Cross-Site Request Forgery, CSRF)
  • Mandantenübergreifende Manipulation von Daten oder Zugriff auf diese Daten
  • Unsichere direkte Objektverweise
  • Unsichere Deserialisierung
  • Sicherheitsrisiken durch Einschleusungen
  • Serverseitige Codeausführung
  • Erhebliche Fehlkonfiguration von Sicherheitskomponenten (wenn nicht durch Benutzer ausgelöst)
  • Verwendung von Komponenten mit bekannten Sicherheitsrisiken

BETROFFENE DOMÄNEN UND ENDPUNKTE

Nur die folgenden Domänen und Endpunkte können beim Bug-Bounty-Programm berücksichtigt werden. Unterdomänen der berücksichtigten Domäne kommen ebenfalls infrage. Das Testen auf Sicherheitsrisiken sollte nur in Mandantenabonnements/-konten durchgeführt werden, die im Besitz des Programmteilnehmers sind.

Überprüfen Sie vor dem Testen die „WHOIS“-Datensätze für alle aufgelösten IP-Adressen, um den Besitz durch Microsoft zu überprüfen. Einige Drittanbieter hosten für Microsoft Websites unter den Microsoft-Unterdomänen. Diese Drittanbieter werden bei dem Bug-Bounty-Programm nicht berücksichtigt.

  • www.office.com
  • protection.office.com
  • onedrive.live.com
  • onedrive.com
  • portal.azure.com
  • manage.windowsazure.com
  • azure.microsoft.com/de-de/blog
  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • outlook.live.com
  • outlook.com
  • sharepoint.com (ausschließlich von Benutzern generierte Inhalte)
  • lync.com
  • officeapps.live.com
  • www.yammer.com
  • sway.com
  • sway.office.com
  • tasks.office.com
  • teams.microsoft.com
  • asm.skype.com
  • msg.skype.com
  • skyapi.live.net
  • skype.com
  • storage.live.com
  • apis.live.net
  • settings.live.net
  • policies.live.net
  • join.microsoft.com

WELCHE REGELN GELTEN FÜR DAS TESTEN VON MICROSOFT ONLINE SERVICES, DIE BEIM BUG-BOUNTY-PROGRAMM BERÜCKSICHTIGT WERDEN?

Das Bug-Bounty-Programm für Microsoft Online Services ist auf technische Sicherheitsrisiken in Onlineprodukten und -diensten beschränkt. Aktivitäten, die auf Social Engineering basieren oder die Verfügbarkeit von Online Services für Kunden beeinträchtigen, sind nicht erlaubt. Dies gilt für Folgendes:

  • Alle Arten von Denial-of-Service-Tests
  • Durchführen automatisierter Tests von Diensten, die beträchtliche Mengen an Datenverkehr generieren
  • Zugriff auf Daten, die Ihnen nicht vollständig gehören Beispielsweise ist es zulässig und empfehlenswert, eine kleine Anzahl von Testkonten und/oder Testmandanten zu erstellen, um konto- oder mandantenübergreifenden Datenzugriff nachzuweisen. Es ist jedoch nicht zulässig, eines dieser Konten für den Zugriff auf die Daten eines berechtigten Kunden oder Kontos zu verwenden.
  • Überschreiten von PoC-Reproduktionsschritten bei Problemen mit der serverseitigen Ausführung (beispielsweise wenn Sie feststellen, dass der Systemadministratorzugriff mit SQL-Befehlen zulässig ist, die Ausführung von „xp_cmdshell“ allerdings nicht).
  • Versuch von Phishing- oder anderen Social Engineering-Angriffen gegen unsere Mitarbeiter Das Bug-Bounty-Programm ist auf technische Sicherheitsrisiken in den angegebenen Microsoft Online Services beschränkt.
  • Verwendung unserer Dienste auf eine Weise, die gegen die Nutzungsbedingungen für diesen Dienst verstößt

Neben diesen Verboten behält sich Microsoft das Recht vor, auf alle Aktionen im Netzwerk zu reagieren, die als schädlich eingestuft werden.

NICHT BERÜCKSICHTIGTE EINSENDUNGEN UND SICHERHEITSRISIKEN

Das Überprüfen jeder einzelnen Einsendung ist für das Microsoft Security Response Center sehr wichtig. Allerdings können einige Einsendungen und Arten von Sicherheitsrisiken beim Bug-Bounty-Programm nicht berücksichtigt werden. Im Folgenden finden Sie einige der häufig auftretenden Probleme mit niedrigem oder nicht relevantem Schweregrad, für die es keine Belohnungen gibt:

  • Öffentlich gemachte Sicherheitsrisiken, die Microsoft bereits gemeldet wurden oder einem Großteil der Sicherheitscommunity bekannt sind
  • Nicht berücksichtigte Arten von Sicherheitsrisiken einschließlich der Folgenden:
    • Veröffentlichung von serverseitigen Informationen wie IP-Adressen, Servernamen und den meisten Stapelüberwachungen
    • CSRF-Fehler mit geringen Auswirkungen (beispielsweise Abmeldung)
    • Denial-of-Service-Probleme
    • Übernahmen von Unterdomänen
    • Cookie-Replay-Sicherheitsrisiken
    • URL-Umleitungen (außer in Kombination mit einem weiteren Sicherheitsrisiko, das zu einem schwerwiegenderen Sicherheitsrisiko führt)
    • „XSS“-Fehler (Cross-Site Scripting) in SharePoint, die die Berechtigung „Designer“ oder höhere Berechtigungen im Zielmandanten erfordern
  • Sicherheitsrisiken, die auf Benutzerkonfigurationen oder -aktionen basieren. Beispiele:
    • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
    • Sicherheitsrisiken durch vom Benutzer erstellte Inhalte oder Anwendungen.
      • Wenn ein Mandant beispielsweise in einer *.sharepoint.com-Domäne seine eigene HTML-Seite mit einem beliebigen Sicherheitsrisiko (beispielsweise DOM-basiertes XSS) öffentlich verfügbar gemacht hat, wird dies nicht als Sicherheitsrisiko angesehen und dessen Übermittlung auch nicht belohnt.
    • Fehlkonfiguration von Sicherheitskomponenten eines Diensts durch einen Benutzer wie beispielsweise die Aktivierung von HTTP-Zugriff auf ein Speicherkonto, um MITM-Angriffe (Man-in-the-Middle) zuzulassen
    • Fehlende HTTP-Sicherheitsheader (z. B. X-FRAME-OPTIONS) oder Cookiesicherheitsflags (z. B. „httponly“)
    • Sicherheitsrisiken, die verwendet werden, um Benutzer oder Mandanten aufzuzählen oder deren Existenz zu bestätigen
  • Sicherheitsrisiken im Zusammenhang mit Produkten von Drittanbietern. Beispiele:
    • Sicherheitsrisiken in Software von Drittanbietern, die von Azure bereitgestellt wird (z. B. Katalogimages und ISV-Anwendungen)
    • Sicherheitsrisiken im Zusammenhang mit Plattformtechnologien, die nicht eindeutig für die betreffenden Online Services relevant sind (z. B. Apache- oder IIS-Sicherheitsrisiken)
  • Sicherheitsrisiken in Webanwendungen, die nur nicht unterstützte Browser und Plug-Ins betreffen

Wir behalten uns das Recht vor, nach eigenem Ermessen jegliche Einsendung anzunehmen oder auch abzulehnen, selbst wenn diese in eine dieser Kategorien von Sicherheitsrisiken eingeordnet werden kann oder im Rahmen des Bug-Bounty-Programms eigentlich berücksichtigt werden könnte.

BELOHNUNGEN FÜR EINSENDUNGEN

Microsoft behält sich das Recht vor, Einsendungen im Rahmen des Programms nach eigenem Ermessen zu berücksichtigen und zu belohnen.

  • Es gibt keine Einschränkungen hinsichtlich der Anzahl qualifizierter Einsendungen eines einzelnen Absenders oder der Anzahl von Belohnungen, die ein Absender möglicherweise empfängt.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung möglicherweise ebenfalls eine Belohnung.
  • Wenn eine Einsendung im Rahmen mehrerer Bug-Bounty-Programme berücksichtigt werden kann, erhalten Sie als Belohnung den höchsten Auszahlungsbetrag eines einzelnen Bug-Bounty-Programms.

Wird meine Übermittlung belohnt, wenn ich bei einem Microsoft Azure-Penetrationstest ein Sicherheitsrisiko finde?

Es liegt in Ihrer Verantwortung, die vereinheitlichten Microsoft Cloud Services-Regeln für Penetrationstests einzuhalten. Eine Organisation oder eine Einzelperson muss mithilfe des MSRC-Portals und gemäß der Richtlinien für Einsendungen von Sicherheitsrisiken einen Bericht an Microsoft senden, der auf ein Sicherheitsrisiko hinweist, das den Vorgaben des Bug-Bounty-Programms entspricht.

GESCHÄFTSBEDINGUNGEN

Weitere Informationen zu den Anforderungen und rechtlichen Richtlinien für das Bug-Bounty-Programm von Microsoft finden Sie in unseren Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm und auf der Seite für häufig gestellten Fragen im Zusammenhang mit unserem Programm.

Vielen Dank für Ihre Teilnahme am Bug-Bounty-Programm von Microsoft.

 

 

REVISIONSVERLAUF

  • September 2014: Start des Programms
  • April 2015: Aktualisierung des Programmumfangs
  • August 2015: Aktualisierung des Programmumfangs und Umbenennung des Programms von „Online Services“ in „Bug-Bounty-Programm für Microsoft Cloud Services“
  • 17. Juli 2018: Aufnahme identitätsbezogener Sicherheitsrisiken ins „Microsoft Identity Bounty Program“ (https://www.microsoft.com/msrc/bounty-microsoft-identity)
  • 7. Dezember 2018: Aktualisierung der Programmeinführung, FAQ-Links und Hinzufügen des Abschnitts für den Revisionsverlauf
  • 17. Januar 2019: Aktualisierung der Belohnungen basierend auf Auswirkung, Schweregrad und Berichtsqualität. Hinzufügen der Zusammenfassung der berücksichtigten Übermittlungen
  • 12. Juni 2019: Berücksichtigung von outlook.live.com
  • 17. Juli 2019: Berücksichtigung von skype.com und tasks.office.com
  • 5. August 2019: Aufteilung von „Bug-Bounty-Programm für Microsoft Cloud Services“ in „Bug-Bounty-Programm für Microsoft Online Services“ und „Bug-Bounty-Programm für Azure“. Aufnahme des Azure-Programmbereichs in das „Bug-Bounty-Programm für Azure“. Aktualisierung des Leitfadens für Penetrationstests