PROGRAMMBESCHREIBUNG

Das Bug-Bounty-Programm für WDAG (Windows Defender Application Guard) ermöglicht es Menschen weltweit, Berichte zu den in WDAG gefundenen Sicherheitsrisiken zu übermitteln, die im Rahmen des Windows 10 Preview Insider-Slow Rings gefunden wurden. Qualifizierte Einsendungen werden mit Belohnungen in Höhe von 500 bis 30.000 US-Dollar vergütet. Diese Belohnungen variieren je nach Ermessen von Microsoft und sind abhängig von der Qualität und Komplexität der Einsendung.
 
Updates für Windows 10 Insider Preview werden Testern in verschiedenen Updateringen zur Verfügung gestellt. Bei diesem Bug-Bounty-Programm sollen Fehler im Windows Insider Preview-Slow Ring übermittelt werden. Weitere Informationen finden Sie unter https://insider.windows.com/ und https://insider.windows.com/de-de/getting-started/.
 

WELCHE EINSENDUNGEN WERDEN BERÜCKSICHTIGT?

Einsendungen von Sicherheitsrisiken an Microsoft müssen die folgenden Kriterien erfüllen, um bei der Vergabe von Belohnungen berücksichtigt werden zu können:
 
  • Identifizieren Sie ein ursprüngliches und zuvor nicht gemeldetes Sicherheitsrisiko in den zulässigen WDAG-Versionen.
    • WDAG unter Windows 10 (neueste Builds im Windows Insider Preview-Slow Ring)
    • Sicherheitsrisiken, die sich auf Hyper-V auswirken, werden im Rahmen des Bug-Bounty-Programms für Hyper-V berücksichtigt.
  • Das Sicherheitsrisiko muss in den letzten WIP-Slow Builds reproduzierbar sein, um berücksichtigt werden zu können.
    • Wenn eine Einsendung in einem früheren WIP-Slow Build und zum Zeitpunkt Ihrer Einsendung nicht im aktuellen WIP-Slow Build reproduzierbar ist, wird diese nicht berücksichtigt.
  • Formulieren Sie präzise und leicht verständliche Schritte für die Reproduzierbarkeit. (Auf diese Weise können Einsendungen so schnell wie möglich verarbeitet und der höchste Betrag für diese Art von Sicherheitsrisiko ausgezahlt werden.)
  • Geben Sie die Buildnummer des WIP-Slow Rings an, in dem das Sicherheitsrisiko vorliegt.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung basierend auf den oben genannten Kriterien belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieser doppelten Einsendung ebenfalls eine Belohnung.
  • Der erste externe Bericht zu einem intern bekannten Problem wird mit maximal 10 % des maximalen Auszahlungsbetrags belohnt (z. B. 3.000 US-Dollar für ein WDAG-RCE anstatt 30.000 US-Dollar).
  • Für einen Bericht hoher Qualität ist ein Proof of Concept, eine Rezension und/oder ein Whitepaper erforderlich.
  • Übermittlungen von Sicherheitsrisiken für Hyper-V-Container werden im Rahmen des Bug-Bounty-Programms für Hyper-V berücksichtigt.
 

WDAG-Container

WDAG wird in einem Hyper-V-Container ausgeführt, der vom Betriebssystem des Hosts isoliert ist.
 
Im Rahmen dieses Bug-Bounty-Programms wird nach Fehlern in WDAG-Containern und -Komponenten gesucht, die direkte Auswirkungen auf die Sicherheit des Containers einschließlich Escapes vom WDAG-Container zum Betriebssystem des Hosts haben. Diese Belohnungen haben, wie oben erwähnt, nichts mit dem Bug-Bounty-Programm für Hyper-V zu tun.
 
 

Remoteausführung von Code

 
Damit Einsendungen berücksichtigt werden können, müssen diese ein RCE-Sicherheitsrisiko in WDAG beschreiben, mit dem ein Gast im WDAG-Container den Hypervisor kompromittieren bzw. einen Escape vom WDAG-Container zum Betriebssystem des Hosts oder von einem WDAG-Container zu einem anderen WDAG-Container durchführen kann.
Berichtsqualität
Potenzieller Auszahlungsbetrag (in US-Dollar)
Sicherheitsrisiko, das zu einem Escape vom WDAG-Container zum Betriebssystem des Hosts führt
Erforderlich
Ja
Hoch
30.000 USD
Nein
Hoch
20.000 USD
Nein
Niedrig 10.000 USD
Sicherheitsrisiko im Application Guard-Container, kein Escape zwischen Containern
Erforderlich
Nein
Hoch
10.000 USD
Nein
Niedrig
2.000 USD

RELEVANTE INFORMATIONEN

WELCHE EINSENDUNGEN WERDEN NICHT BERÜCKSICHTIGT?

Ziel des Bug-Bounty-Programms ist es, bedeutende Sicherheitsrisiken zu erkennen, die direkte und nachweisbare Auswirkungen auf die Sicherheit unserer Benutzer und deren Daten haben. Wir begrüßen alle Einsendungen, die uns über Sicherheitsrisiken in unseren Browsern informieren. Das Einreichen von Berichten zu den folgenden Beispielen für Sicherheitsrisiken wird im Rahmen dieses Programms aber nicht belohnt:
  • Sicherheitsrisiken in anderen als dem aktuellen Windows Insider-Slow Build
  • Sicherheitsrisiken in von Benutzern generierten Inhalten
  • Sicherheitsrisiken, die umfangreiche oder unwahrscheinliche Benutzeraktionen erfordern
  • Sicherheitsrisiken, die durch Deaktivieren vorhandener Sicherheitsfeatures gefunden wurden
  • Beliebige andere Kategorie von Sicherheitsrisiko, die Microsoft nach eigenem Ermessen nicht berücksichtigt

Wir behalten uns das Recht vor, nach eigenem Ermessen jegliche Einsendung abzulehnen, selbst wenn diese in eine dieser Kategorien von Sicherheitsrisiken eingeordnet werden kann oder im Rahmen des Bug-Bounty-Programms eigentlich berücksichtigt werden könnte.

RECHTLICHE HINWEISE

Weitere Informationen zu den rechtlichen Richtlinien von Microsoft finden Sie hier.

Vielen Dank für Ihre Teilnahme am Bug-Bounty-Programm von Microsoft.