DESCRIPCIÓN DEL PROGRAMA

Microsoft continúa realizando una gran inversión en la seguridad y la privacidad de nuestras soluciones de identidad tanto de clientes (cuenta de Microsoft) como de empresas (Azure Active Directory). Como miembro de la comunidad de expertos en estándares en organismos oficiales de normalización, como IETF, OpenID Foundation o W3C, nos centramos en la creación, la implementación y la mejora de especificaciones relacionadas con la identidad que fomenten una autenticación sólida, un inicio de sesión seguro, la seguridad de las sesiones y las API, y otras tareas de infraestructura críticas.

El programa de recompensas de Microsoft por la detección de vulnerabilidades relacionadas con la identidad invita a los investigadores de todo el mundo a identificar vulnerabilidades en los productos y servicios de identidad, y a compartirlas con nuestro equipo. Los envíos que cumplan los requisitos podrán optar a premios de recompensa que oscilan entre 1500 y 100 000 USD.

Además de nuestra colaboración con la comunidad de estándares OpenID, nuestro programa de recompensas incluye implementaciones certificadas de algunos estándares OpenID. 

Microsoft concederá las recompensas a su entera discreción en función de la gravedad y el impacto de la vulnerabilidad y la calidad del envío, conforme a los Términos y condiciones de los programas de recompensas de Microsoft.  
 

Este programa de recompensas es paralelo al programa continuo de subvenciones de Microsoft para proyectos de investigación relacionados con la identidad.

¿QUÉ REQUISITOS DEBEN CUMPLIR LOS ENVÍOS?

El objetivo del programa de recompensas por la detección de errores es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de los clientes de Microsoft. Los informes sobre vulnerabilidades que se envíen deben cumplir los siguientes criterios para que puedan optar a un premio de recompensa: 

  • Identificar una vulnerabilidad crítica o importante que no se haya notificado antes y que tenga un impacto en la seguridad que esté dentro del ámbito del programa y cumpla alguno de los siguientes criterios:
    • Se reproduce en la última versión disponible públicamente de los servicios de identidad de Microsoft que están dentro del ámbito del programa. 
    • Da lugar a que se tome el control de una cuenta de Microsoft o de Azure Active Directory.
    • Aparece publicada en los estándares OpenID o con un protocolo conforme a OpenID, y está implementada en nuestros productos, bibliotecas o servicios certificados.
  • Incluye toda la información siguiente:
    • Una descripción del problema y los pasos para reproducirlo expuestos de forma breve y fácil de comprender.
    • El impacto de la vulnerabilidad.
    • Un vector de ataque si no es obvio.

DOMINIOS Y ESTÁNDARES DENTRO DEL ÁMBITO DEL PROGRAMA:

  • login.windows.net
  • login.microsoftonline.com
  • login.live.com
  • account.live.com
  • account.windowsazure.com
  • account.activedirectory.windowsazure.com
  • credential.activedirectory.windowsazure.com
  • passwordreset.microsoftonline.com
  • Microsoft Authenticator (aplicaciones de iOS y Android)*

* Para aplicaciones móviles: lo investigado debe reproducirse en la última versión de la aplicación y del sistema operativo del dispositivo móvil.

Ámbito de estándares:

Implementaciones certificadas de los productos y servicios de Microsoft que se indican aquí.

  • OpenID Foundation: familia OpenID Connect
  • OpenID Connect Core
  • OpenID Connect Discovery
  • OpenID Connect Session
  • OAuth 2.0 Multiple Response Types
  • OAuth 2.0 Form Post Response Types

Nota: Los trabajos sobre estándares, protocolos o implementaciones que se envíen para obtener una recompensa deben realizarse con un estándar de identidad plenamente ratificado que esté dentro del ámbito de este programa y deben haber descubierto una vulnerabilidad de seguridad con el estándar o protocolo implementado en nuestros productos, bibliotecas o servicios certificados.

Los profesiones de estándares con contribuciones o afiliaciones a grupos de trabajo de estándares de identidad no pueden optar a recibir recompensas relacionadas con estándares.

PREMIOS DE RECOMPENSA

Los premios de recompensa oscilan entre 1500 y 100 000 USD. Microsoft, a su entera discreción, puede conceder premios superiores en función del impacto, la gravedad y la calidad del envío.

Impacto en la seguridad
Calidad del informe
Gravedad
Crítico
Importante

Moderado

Baja

Elevación de privilegios
(Con omisión de autenticación multifactor)

Alta

Media

Baja

100 000 USD

75 000 USD

45 000 USD

50 000 USD

25 000 USD

10 000 USD

0 USD

0 USD

Elevación de privilegios
(Por ejemplo, omisión o error de autenticación)

Alta

Media

Baja

40 000 USD

20 000 USD

8000 USD

20 000 USD

10 000 USD

2500 USD

0 USD

0 USD

Suplantación de identidad

(Por ejemplo,

scripts entre sitios (XSS) o falsificación de solicitud entre sitios (CSRF))

Alta
Media
Baja
20 000 USD
10 000 USD
6000 USD
10 000 USD
5000 USD
1500 USD

0 USD

0 USD

Revelación de información

(Por ejemplo, la

exposición de datos confidenciales)

Alta
Media
Baja
12 000 USD
6000 USD
4500 USD
7500 USD
3000 USD
1500 USD

0 USD

0 USD

Diseño de estándares

Vulnerabilidades

(Se aplican algunas limitaciones; vea la sección “Fuera del ámbito” a continuación)

Alta
Media
Baja
100 000 USD
60 000 USD
25 000 USD
30 000 USD
20 000 USD
2500 USD

0 USD

0 USD

Basado en estándares

de implementación

Vulnerabilidades

(Se aplican algunas limitaciones; vea la sección “Fuera del ámbito” a continuación)

Alta
Media
Baja
75 000 USD
50 000 USD
20 000 USD
25 000 USD
10 000 USD
2500 USD

0 USD

0 USD

Se considera un informe de alta calidad el que proporciona la información necesaria para que un ingeniero pueda reproducir, comprender y corregir rápidamente el problema. Normalmente, incluye una breve reseña o un vídeo donde se exponen los antecedentes necesarios, una descripción del error y una prueba de concepto (PoC) adjunta. Aquí puede ver algunos ejemplos de informes de alta y baja calidad.  

No disminuiremos la valoración de la calidad de un informe si expone un problema que es difícil de reproducir o comprender debido a su complejidad.

 
 
 

CÓMO CREAR CUENTAS DE PRUEBA PARA PROBAR SERVICIOS DE CUENTAS DE AZURE Y MICROSOFT QUE ESTÉN DENTRO DEL ÁMBITO DEL PROGRAMA DE RECOMPENSAS

Debe crear cuentas e inquilinos de prueba para probar y sondear la seguridad.

En todos los casos, siempre que sea posible, incluya la cadena “MSOBB” en el nombre de la cuenta y/o del inquilino para identificarla como que está en uso para el programa de recompensas por la detección de errores.

¿CÓMO DEBO PROPORCIONAR MI ENVÍO?

Envíe su trabajo completo a Microsoft usando el portal de envíos del MSRC, siguiendo las recomendaciones de formato que se indican en las directrices para el envío. Debe seguir el principio de divulgación de vulnerabilidades coordinada cuando notifique todas las vulnerabilidades. Haremos un esfuerzo razonable por aclarar los envíos que sean indescifrables o estén incompletos. 
 
¿Tiene preguntas? Siempre estamos disponibles en la dirección secure@microsoft.com
 

Fuera del ámbito:

  • Vulnerabilidades divulgadas públicamente que ya se le hayan notificado a Microsoft o que ya estén en conocimiento de la amplia comunidad de expertos en seguridad. 
  • Problemas que no tengan identificado claramente el impacto en la seguridad (por ejemplo, el clickjacking en un sitio web estático), que no incluyan encabezados de seguridad ni mensajes de error descriptivos.
  • Vulnerabilidades fuera del ámbito, como las siguientes:
    • Divulgación de información del lado servidor, como direcciones IP, nombres de servidor y la mayoría de los seguimientos de la pila. 
    • Errores de CSRF de bajo impacto (por ejemplo, el cierre de sesión). 
    • Problemas de denegación de servicio.
    • Toma de control de subdominios. 
    • Vulnerabilidades de reproducción de cookies. 
    • Redirección de URL (a menos que esté combinada con otra vulnerabilidad para producir una vulnerabilidad más grave). 
    • Directivas de contraseñas, correo electrónico y cuentas, como la verificación de un id. de correo electrónico, la expiración del vínculo de restablecimiento o la complejidad de las contraseñas.
    • Vulnerabilidades de una aplicación web que solo afecten a exploradores y complementos no admitidos.
  • Vulnerabilidades basadas en la configuración del usuario, la acción del usuario o el acceso físico; por ejemplo: 
    • Vulnerabilidades que requieren una acción extensa o improbable del usuario. 
    • Vulnerabilidades en aplicaciones o contenido creados por el usuario. 
    • Configuración de seguridad incorrecta especificada por el usuario en un servicio, como habilitar el acceso HTTP en una cuenta de almacenamiento para permitir ataques de tipo “Man in the middle”. 
    • Envíos que requieren la manipulación de datos, acceso a una red o un ataque físico a las oficinas o los centros de datos de Microsoft y/o ingeniería social de nuestra consola de servicio o nuestros empleados o contratistas.
    • Omisión de la autenticación en dos fases que requiera el acceso físico a un dispositivo con una sesión iniciada.
    • Acceso local a datos del usuario al operar un dispositivo móvil con acceso “root”.
    • Ausencia de encabezados de seguridad HTTP (por ejemplo, X-FRAME-OPTIONS) o marcas de seguridad de cookies (por ejemplo, “httponly”). 
    • Vulnerabilidades usadas para enumerar o confirmar la existencia de usuarios o inquilinos.
  • Vulnerabilidades basadas en soluciones de terceros; por ejemplo: 
    • Vulnerabilidades en software de terceros proporcionado por Azure, como imágenes de la galería y aplicaciones de ISV. 
    • Vulnerabilidades en tecnologías de plataforma que no sean exclusivas de los servicios en línea en cuestión (por ejemplo, vulnerabilidades de Apache o IIS). 
  • Informes de herramientas o exploraciones automatizadas.
  • Los sitios de aprendizaje, documentación, ejemplos y foros de comunidades relacionados con los productos y servicios de identidad no entran en el ámbito del programa de recompensas, a menos que se indique lo contrario en “Dominios y puntos de conexión dentro del ámbito del programa”.
  • Vulnerabilidades en otros productos de Microsoft:
    • Estos envíos pueden ser válidos para optar a un premio en otro programa de recompensas. Vea la lista completa de programas de recompensas para conocer otros productos y servicios de Microsoft que pueden optar a una recompensa.
  • Limitación a las vulnerabilidades basadas en estándares
    • Cualquiera de los siguientes criterios excluiría una vulnerabilidad basada en estándares del programa de recompensas:
      • Estándares con un estado de borrador, versión candidata para lanzamiento o borrador de implementación. Los problemas con estándares que tengan alguno de estos estados deben notificarse directamente al organismo de normalización en cuestión dentro del proceso normal de creación de estándares.
      • En especificaciones no publicadas explícitamente.
      • En implementaciones no certificadas de productos y servicios de Microsoft.

NOTA IMPORTANTE ACERCA DE LOS DATOS DE LA INVESTIGACIÓN Y DE LOS CLIENTES

Una investigación independiente de la seguridad es un componente importante para la confianza global en la seguridad de los productos y servicios. Como parte de esa investigación, la comunidad debe ser consciente también de que estos servicios están en ejecución en un entorno de producción para que los clientes los usen de forma ininterrumpida. Pedimos que los investigadores de la seguridad hagan un esfuerzo de buena fe para:

  • Evitar infracciones de privacidad, la destrucción de datos y la interrupción o degradación de nuestro servicio durante la investigación.
    Si descubre datos de clientes durante la investigación, pare de inmediato y póngase en contacto con nosotros.
    • Por ejemplo, se le permite crear un número reducido de cuentas y/o inquilinos de prueba (y se le anima a que lo haga) para demostrar el acceso a datos entre cuentas o inquilinos. Está prohibido el uso de estas cuentas para acceder a datos de un cliente o una cuenta legítimos.
  • Las pruebas para detectar vulnerabilidades deben realizarse únicamente en los inquilinos de las suscripciones o cuentas que sean propiedad del investigador. No ejecute pruebas en otros inquilinos.
  • Ir más allá de los pasos de reproducción de la “prueba de concepto” para los problemas de ejecución en el lado servidor no es una práctica aceptable. Por ejemplo, probar que tiene acceso de administrador del sistema con SQLi es aceptable, pero ejecutar xp_cmdshell no lo es.

Para que los investigadores de la seguridad puedan comprender más fácilmente los límites de la investigación en nuestros servicios, se prohíben los siguientes métodos:

  • Intentar ataques de suplantación de identidad (phishing) u otros ataques de ingeniería social contra nuestros empleados. El ámbito de este programa se limita a vulnerabilidades técnicas en los servicios en línea de Microsoft especificados.
  • Cualquier tipo de prueba de denegación de servicio.
  • Realizar pruebas automatizadas de los servicios que generen un volumen de tráfico considerable.

TÉRMINOS Y CONDICIONES DE LOS PROGRAMAS DE RECOMPENSAS 

Los programas de recompensas por la detección de errores de Microsoft están sujetos a los términos y condiciones legales que se indican aquí, así como a nuestra directiva Safe Harbor.   

¿Tiene preguntas? Las preguntas más frecuentes sobre los programas de recompensas están disponibles aquí y también estamos disponibles siempre en la dirección bounty@microsoft.com

Gracias por participar en el programa de recompensas de Microsoft por la detección de errores.

HISTORIAL DE REVISIONES

  • 6 de diciembre de 2018: Se agrega la sección Historial de revisiones.
  • 23 de octubre de 2019: Se revisa el modelo de premios para incluir el impacto en la seguridad, la gravedad y la calidad del informe. Se revisa el lenguaje del texto sobre recompensas para adaptarlo a nuestros demás programas en la nube.
  • 16 de enero de 2020: Se agrega el vínculo al programa Subvención para proyectos de investigación