DESCRIPCIÓN DEL PROGRAMA

Estamos encantados de lanzar un programa de recompensas por la detección de vulnerabilidades de seguridad en Microsoft Office Insider en el escritorio de Windows. Personas de todo el mundo pueden obtener premios monetarios por enviar vulnerabilidades de seguridad que encuentren en la compilación del Modo aplazado de Microsoft Office Insider que se distribuye con la versión más reciente, totalmente actualizada, de Windows. Las actualizaciones de Office Insider se entregan a los clientes en diferentes anillos. Para el programa de recompensas, deben enviar errores del anillo aplazado de Office Insider Preview. Consulte https://products.office.com/en-us/office-insider and https://products.office.com/en-us/try para obtener más información.

El programa de recompensas de Microsoft Office Insider está sujeto a los términos legales que se indican aquí.

¿QUÉ REQUISITOS DEBEN CUMPLIR LOS ENVÍOS?

El programa de recompensas de Microsoft por la detección de errores tiene como objetivo premiar los envíos de alta calidad que reflejen la investigación que ha llevado a cabo para detectar la vulnerabilidad. El objeto de su informe es compartir su conocimiento y pericia con los desarrolladores e ingenieros de Microsoft para que puedan comprender y reproducir su hallazgo de forma rápida y eficiente. De esta forma, disponen de los antecedentes y el contexto para corregir la vulnerabilidad.

Los informes sobre vulnerabilidades que se envíen a Microsoft deben cumplir los siguientes criterios para que puedan optar a una recompensa:
  • Identificar una vulnerabilidad original que no se haya notificado antes, que esté dentro del ámbito del programa y que se reproduzca en la compilación más reciente del anillo aplazado de Office Insider en una máquina que tenga una versión totalmente actualizada de Windows 10.
  • Incluir una descripción del problema y los pasos para reproducirlo expuestos de forma breve y fácil de comprender. Esto permite procesar los envíos tan rápido como sea posible y favorece la obtención de la recompensa máxima por el tipo de vulnerabilidad notificado.
  • Incluir el impacto de la vulnerabilidad.
  • Incluir un vector de ataque si no es obvio.

Ámbito:

Compilación más reciente del anillo aplazado de Office Insider Preview en una máquina con una versión totalmente actualizada de Windows 10.

Fuera del ámbito:

  • Compilaciones de Office Insider Preview que sean anteriores al anillo aplazado actual.
  • Compilaciones de Office Insider Preview en sistemas operativos anteriores.
  • Mac Office.
  • Aplicaciones de Office para iOS y Android.
Los envíos que cumplan los requisitos pueden optar a una recompensa que oscila entre 500 y 15 000 USD. Microsoft determinará, a su entera discreción, quién recibirá el premio en función de la calidad y la complejidad de la vulnerabilidad. Algunos envíos pueden optar a recompensas de más de 15 000 USD.

¿CÓMO SE DETERMINAN LOS IMPORTES DE LOS PREMIOS?

Si recibimos varios informes de error aptos de diferentes autores externos sobre el mismo problema, la recompensa se le concederá al primero que recibamos, conforme a los criterios mencionados.

Si un informe duplicado nos proporciona información nueva que agrega valor a la investigación de la vulnerabilidad, puede concedérsele un premio diferencial.


El intervalo de premios para los envíos que cumplan los criterios se basa en los siguientes factores:
Calidad del informe
Intervalo de pagos posible (USD)*
Elevación de privilegios mediante el escape del espacio aislado de la Vista protegida (excepto las vulnerabilidades en bibliotecas y componentes no instalados por Office o en el espacio aislado de AppContainer, que son aplicables a cualquier aplicación que los use).
No
Obligatoria
Alta
Hasta 15 000 USD
No
Obligatoria
Baja
Hasta 9000 USD
Ejecución de macros al omitir las directivas de seguridad que bloquean las macros de Office en Word, Excel y PowerPoint.
No
Obligatoria
Alta
Hasta 15 000 USD
No
Obligatoria
Baja
Hasta 9000 USD
Ejecución de código al omitir las directivas de bloqueo automático de datos adjuntos de Outlook para un conjunto predefinido de extensiones (se indican a continuación) que, de forma predeterminada, son bloqueadas por Outlook.
No
Obligatoria
Alta
Hasta 9000 USD
No
Obligatoria
Baja
Hasta 6000 USD
*Microsoft, a su entera discreción, puede conceder pagos superiores en función de la calidad y la complejidad del envío.

DEFINICIONES DE ENVÍOS APTOS:

Elevación de privilegios mediante el escape del espacio aislado de la Vista protegida de Office
Con el fin de mantener la seguridad de los usuarios, Office utiliza la característica Vista protegida para abrir los documentos que no son de confianza. Buscamos a investigadores que nos envíen información sobre técnicas basadas en Office para escapar del espacio aislado y otras elevaciones de privilegios.

Omisión de la directiva de seguridad predeterminada para bloquear la ejecución de macros
De forma predeterminada, las directivas de seguridad de macros bloquean su ejecución sin la intervención del usuario. En este programa de recompensas, animamos a los investigadores a que nos envíen información sobre vulnerabilidades que permitirían la ejecución automática de macros en Microsoft Word, Excel y PowerPoint sin la intervención del usuario con la configuración predeterminada y sin confiar en el documento.
Omisión de la lista de bloqueo de datos adjuntos en Outlook
Actualmente, hay varias extensiones de archivo que están bloqueadas como datos adjuntos en Outlook. Buscamos técnicas que permitirían omitir las directivas de bloqueo actuales para la lista de extensiones que se detalla a continuación.

La lista más actualizada de extensiones bloqueadas es la siguiente:
ade;adp;app;asp;bas;bat;cer;chm;cmd;cnt;com;cpl;crt;csh;der;diagcab;exe;
fxp;gadget;grp;hlp;hpj;hta;inf;ins;isp;its;jar;jnlp;js;jse;ksh;lnk;mad;maf;mag;
mam;maq;mar;mas;mat;mau;mav;maw;mcf;mda;mdb;mde;mdt;mdw;mdz;
msc;msh;msh1;msh2;msh1xml;msh2xml;mshxml;msi;msp;mst;ops;osd;
pcd;pif;pl;plg;prf;prg;ps1;ps2;ps1xml;ps2xml;psc1;psc2;pst;reg;scf;scr;sct;
shb;shs;tmp;url;vb;vbe;vbp;vbs;vsmacros;vsw;ws;wsc;wsf;wsh;xbap;xll;xnk

Aquí puede obtener más información sobre los datos adjuntos bloqueados en Outlook.

Nota: Aquí NO se cubren los casos en los que una extensión de archivo que actualmente no está bloqueada como datos adjuntos pueda dar lugar a un ataque de RCE. Por ejemplo, nosotros no bloqueamos algunos tipos de datos adjuntos ejecutables instalados por software de terceros.

¿QUÉ ENVÍOS NO SON APTOS PARA EL PROGRAMA?

El objetivo del programa de recompensas por la detección de errores es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de nuestros usuarios y sus datos. Aunque animamos a que se nos envíen todos los informes que describan vulnerabilidades de seguridad en nuestros exploradores, los siguientes son algunos ejemplos de vulnerabilidades que no obtendrán ningún premio de recompensa en este programa:
  • Vulnerabilidades en versiones que sean anteriores a la compilación actual del Modo aplazado de Office Insider.
  • Vulnerabilidades en contenido generado por el usuario.
  • Vulnerabilidades que requieren una acción extensa o improbable del usuario.
  • Vulnerabilidades que se hayan encontrado al deshabilitar características de seguridad actuales.
  • Vulnerabilidades en componentes no instalados por Office.
  • Vulnerabilidades en componentes de terceros que se puedan instalar en el sistema y habiliten la vulnerabilidad.
  • Vulnerabilidades relacionadas con el escape de la Vista protegida cuando esta característica no está activada explícitamente en el código de Office ni habilitada de forma predeterminada para el escenario notificado.
  • Vulnerabilidades en el contenedor de la aplicación.

Cualquier otra categoría de vulnerabilidades que Microsoft determine, a su entera discreción, que no es apta para el programa.

Nos reservamos el derecho a rechazar cualquier envío si determinamos, a nuestra entera discreción, que entra dentro de alguna de estas categorías de vulnerabilidades, incluso si puede optar a una recompensa de otro modo.

AVISO LEGAL

Aquí puede consultar más información sobre las directrices legales de Microsoft.

Gracias por participar en el programa de recompensas de Microsoft por la detección de errores.


HISTORIAL DE REVISIONES

  • 7 de diciembre de 2018: Se actualiza la directiva de informes duplicados y se agrega el historial de revisiones.