DESCRIPCIÓN DEL PROGRAMA

El programa de recompensas de Microsoft Windows Insider Preview invita a investigadores de todo el mundo a buscar y enviar vulnerabilidades que se reproduzcan en el último Canal Dev de Windows Insider Preview (WIP). Los envíos que cumplan los requisitos podrán optar a premios que oscilan entre 500 y 100 000 USD.

Microsoft concede las recompensas a su entera discreción. Microsoft puede ofrecer un premio superior en función de la gravedad y el impacto de la vulnerabilidad, así como de la calidad del envío. Este programa de recompensas está sujeto a estos términos y a los que se indican en Términos y condiciones de los programas de recompensas de Microsoft.  

ENVÍOS QUE CUMPLEN LOS REQUISITOS

El objetivo del programa de recompensas por la detección de errores es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de los clientes que usan la versión más reciente de Windows.

Los informes sobre vulnerabilidades que se envíen deben cumplir los siguientes criterios para que puedan optar a premios de recompensa:

  • Identificar una vulnerabilidad que no se haya notificado antes a Microsoft.
  • Dicha vulnerabilidad debe tener una gravedad crítica o importante.
  • Debe haber probado el envío en la última
    versión del Canal Dev
    de Windows Insider Preview para demostrar que se puede reproducir en esa versión.
    • Incluir la cadena de compilación y revisión que aparece en la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\BuildLabEx.
      • Por ejemplo, 99999.1.amd64fre.fs5_release.180914-1434.en-us.
  • Incluya pasos claros, concisos y reproducibles, ya sea por escrito o en un vídeo, donde proporcione a nuestro equipo de ingeniería la información necesaria para reproducir, comprender y solucionar los problemas rápidamente.
    • Aquí puede ver algunos ejemplos. 
  • Afectar a una característica para la que se ofrece mantenimiento y que esté dentro del ámbito del programa de recompensas según los criterios de mantenimiento de la seguridad de Windows.

Solicitamos a los investigadores que incluyan la siguiente información para ayudarnos a evaluar rápidamente su envío:

  • Realicen el envío a través del
    portal de investigadores del MSRC
  • Indique en el envío de vulnerabilidad para qué escenario de ataque (si corresponde) se aplica el informe
  • Describa el vector de ataque para la vulnerabilidad

INTRODUCCIÓN

Para comenzar, únase al programa Windows Insider Preview y descargue la versión más reciente del Canal Dev.

Para más información, consulte:

PREMIOS DE RECOMPENSA

Los premios de recompensa oscilan entre 500 y 100 000 USD. Microsoft, a su entera discreción, puede conceder premios superiores en función de la gravedad y el impacto de la vulnerabilidad y la calidad del envío. Los investigadores que informen de vulnerabilidades que no cumplan los criterios para obtener un premio de recompensa pueden obtener un reconocimiento público si, gracias a su informe, se corrige una vulnerabilidad.

Si una vulnerabilidad notificada no cumple los requisitos para un premio de recompensa bajo los escenarios de ataque, puede cumplir los requisitos para un premio de recompensa contemplados para los premios generales. Los envíos que cumplen los requisitos recibirán el premio individual más alto.

Premios de escenarios de ataque

 

Vector de ataque

Escenario

Premio máximo

Remoto (se supone que no hay ejecución previa)

Ejecución de código no autenticado sin espacio aislado y sin la interacción del usuario

100 000 USD

Acceso no autenticado y no autorizado demostrado1 a datos privados del usuario2 con poca3 o ninguna intervención del usuario

50 000 USD

Destrucción de datos sin autenticación o denegación persistente del servicio sin intervención del usuario

30 000 USD

Local (se supone que hay ejecución previa)

Escape de espacio aislado4 con poca o ninguna intervención del usuario

20 000 USD

Acceso no autorizado demostrado a datos privados del usuario desde un proceso del espacio aislado4 sin intervención del usuario

20 000 USD

1Demostrado significa que, en el envío, debe explicarse en detalle cómo se puede utilizar la vulnerabilidad notificada para acceder a los datos privados.

2 Los datos privados son archivos de usuario, correos electrónicos, fotos o datos similares protegidos detrás de un límite de seguridad de Windows.

3 La interacción de pequeño usuario incluye, sin limitación, hacer clic en un archivo, navegar a un sitio web o iniciar sesión. 

4 Los espacios aislados que cumplen los requisitos son el agente de RPC de Protección de aplicaciones de Microsoft Defender (HVSIRPCD), el nuevo Microsoft Edge basado en el proceso de representación de Chromium, el espacio aislado de Windows Defender (MsMpEngCP), el proceso con espacio aislado del Servicio de detección automática de proxy web (WPAD) WinHTTP y el proceso con espacio aislado UtcDecoderHost.exe. Los espacios aislados que no cumplen los requisitos son AppContainer (AC) y el espacio aislado de Internet Explorer, que cumplen los requisitos para premios de recompensa generales (ver la información siguiente). 

Premios generales

 

Impacto en la seguridad

Premio máximo

Ejecución remota de código

5000 USD

Elevación de privilegios

2000 USD

Omisión de características de seguridad.

1.000 USD

Divulgación de información

1.000 USD

Suplantación de identidad

1.000 USD

Alteración

1.000 USD

Denegación de servicio

500 USD

ENVÍOS Y VULNERABILIDADES FUERA DEL ÁMBITO DEL PROGRAMA

Microsoft está encantado de recibir todos los informes de vulnerabilidad y revisarlos caso por caso, pero es posible que algunos tipos de vulnerabilidades no cumplan los requisitos para obtener un premio de recompensa. Los siguientes son algunos de los problemas más comunes de baja gravedad o que están fuera del ámbito del programa que, normalmente, no ganan premios de recompensa:  

  • Cualquier envío que no demuestra pruebas y reproducción en el Canal Dev de Windows Insider Preview en el momento del envío
  • Vulnerabilidades que se han divulgado públicamente y que tanto Microsoft como la amplia comunidad de expertos en seguridad ya conocen.
  • Vulnerabilidades de gravedad baja o moderada
  • Envíos que afectan a características para las que no se ofrece mantenimiento y que están fuera del ámbito del programa de recompensas según los criterios de mantenimiento de la seguridad de Windows.
  • Vulnerabilidades en la Tienda Windows, aplicaciones de Windows, firmware, controladores de terceros o software de terceros en Windows.
  • Vulnerabilidades que requieren una acción extensa o improbable del usuario.
  • Vulnerabilidades que se deben a que se ha reducido la configuración de seguridad predeterminada o a que se utiliza una configuración poco habitual en el sistema.
    • Vulnerabilidades que requieren habilitar el protocolo Bloque de mensajes del servidor (SMBv1)
    • Escapes de espacio aislado con el Control de cuentas de usuario (UAC) deshabilitado
  • Vulnerabilidades a las que solo se puede acceder a través de Microsoft Internet Explorer o Microsoft Edge (versión anterior). Utilice el nuevo Microsoft Edge.  
  • Patrones o categorías de vulnerabilidades para los que Microsoft esté investigando activamente mitigaciones más amplias. En abril de 2020, por ejemplo, se incluyen, entre otras, las siguientes:
    • Vulnerabilidades que implican daños en la memoria debidos a condiciones de carrera en componentes en modo usuario, como los servicios COM, WinRT o RPC.
    • Vulnerabilidades locales que implican el redireccionamiento de la ruta de acceso de los archivos con uniones o puntos de montaje.

INFORMACIÓN ADICIONAL

Para obtener más información, consulte las preguntas más frecuentes.

  • Si recibimos varios informes de error de diferentes autores sobre el mismo problema, la recompensa se le concederá al primero que lo envíe.
  • Si un informe duplicado proporciona información nueva que Microsoft desconocía, puede concedérsele un premio diferencial. 
  • Si un envío tiene posibilidades de participar en varios programas de recompensas, solo obtendrá el premio con el importe más alto de uno solo de esos programas.
  • Microsoft se reserva el derecho a rechazar cualquier envío, a su entera discreción, si determina que no cumple estos criterios.

HISTORIAL DE REVISIONES

  • 26 de julio de 2017: Lanzamiento del programa.
  • 17 de enero de 2019: Se agregan los criterios de mantenimiento de la seguridad y se actualizan las directrices de los informes duplicados. Se agrega el ámbito de escape temporal del espacio aislado de Windows y se aumentan los niveles de los premios.
  • 3 de octubre de 2019: Se quita la bonificación de recompensa para el escape del espacio aislado del antivirus de Defender. Se agrega la sección Cómo debo proporcionar mi informe. 
  • 10 de febrero de 2020: Se cambia el nombre de la sección “Ámbito del programa de recompensas” a “Envíos y vulnerabilidades fuera del ámbito del programa”.
  • 22 de abril de 2020: Se agregan como vulnerabilidades fuera del ámbito del programa las que se basan en Microsoft Internet Explorer o Microsoft Edge (versión anterior), y los patrones o categorías de vulnerabilidades para los que Microsoft esté investigando activamente mitigaciones más amplias.
  • 24 de julio de 2020: Se agregan premios de escenario de ataque y una tabla de premios generales, aumentando el premio máximo a 100 000 USD. Se agrega la exigencia de que los envíos que cumplen los requisitos deben mostrar pruebas y reproducciones en el Canal Dev. Elegibilidad de envíos separada en criterios requeridos y criterios recomendados.
  • 27 de agosto de 2020: Se cambia “pasos claros, concisos y reproducibles" de acción recomendada a obligatoria. Se agrega una aclaración de que es obligatorio que el acceso sea “no autenticado” en los casos de un ataque remoto. Se agrega la definición de “demostrado” en los casos de ataques.