DESCRIPTION DU PROGRAMME

Grâce au programme Microsoft Mitigation Bypass Bounty and Bounty for Defense, les individus du monde entier ont la possibilité de soumettre un nouveau contournement d’atténuation sur notre plateforme Windows la plus récente. Ils sont également invités à soumettre une idée de mesure défensive qui bloquerait une technique d’exploitation qui contourne actuellement les atténuations les plus récentes de la plateforme. Dans le cadre de ce programme, les soumissions de contournement d’atténuation qualifiées sont éligibles à des récompenses allant jusqu’à 100 000 USD et les mesures défensives qualifiées sont éligibles à une prime pouvant atteindre 100 000 USD, pour un total pouvant atteindre 200 000 USD. Toutes les primes sont attribuées à la seule discrétion de Microsoft.

Si vous soumettez une nouvelle technique de contournement d’atténuation que vous avez trouvée dans une attaque active, veuillez noter que nous avons un programme similaire mais distinct pour vous, et les conditions qui sont indiquées ici sont destinées aux individus qui soumettent leur propre idée pour un nouvelle technique de contournement d’atténuation.

Si vous soumettez votre propre idée, veuillez lire l’intégralité des conditions ci-dessous, puis envoyer votre candidature pour examen à secure@microsoft.com. Si vous soumettez une technique que vous avez trouvée en cours d’utilisation dans une attaque active, vous devez d’abord vous inscrire auprès de nous en nous envoyant un e-mail aux adresses bounty@microsoft.com et secure@microsoft.com pour plus de détails.

DE QUOI UNE SOUMISSION ÉLIGIBLE POUR UN CONTOURNEMENT D’ATTÉNUATION EST-ELLE CONSTITUÉE ?

Les soumissions de contournement éligibles doivent inclure un livre blanc ou un bref document expliquant la méthode d’exploitation et doivent cibler l’un des scénarios suivants :

  • Une nouvelle méthode d’exploitation d’une véritable vulnérabilité d’exécution de code à distance (RCE). Une véritable vulnérabilité RCE est considérée comme un RCE qui existe dans une application Microsoft qui peut ou non avoir déjà été corrigée par une mise à jour de sécurité.
  • Une nouvelle méthode pour contourner une atténuation imposée par un bac à sable en mode utilisateur. Par exemple, il peut s’agir d’une technique qui peut contourner les restrictions de liens symboliques imposées par un bac à sable ou d’autres problèmes logiques nouveaux qui permettent à un attaquant d’échapper au bac à sable et d’élever les privilèges.
Les soumissions de contournement éligibles sont autorisées à utiliser des méthodes d’exploitation connues dans leur exploit et leur livre blanc, mais une nouvelle méthode d’exploitation doit être une composante intégrale et requise permettant l’exécution fiable de code à distance. Les soumissions doivent clairement distinguer les nouveaux aspects de la méthode d’exploitation décrite.
  • Il est recommandé que les soumissions ciblent les applications en mode utilisateur 64 bits ou les applications qui s’exécutent sur des processeurs ARM 32 bits.

Les soumissions de contournement éligibles doivent pouvoir exploiter une application en mode utilisateur qui utilise toutes les dernières atténuations prises en charge par la plateforme Windows. Reportez-vous à la section PORTÉE DU CONTOURNEMENT D’ATTÉNUATION pour plus d’informations sur ce qui fait partie du champ d’application ou non pour les soumissions de contournement d’atténuation.

Les soumissions de contournement éligibles doivent démontrer et décrire une méthode d’exploitation qui répond aux critères suivants :
  • Générique : Les méthodes d’exploitation RCE doivent être applicables à une ou plusieurs classes de vulnérabilité de corruption de mémoire courantes.
  • Fiable : elle doit avoir une faible probabilité de défaillance.
  • Raisonnable : elle doit avoir des exigences et des prérequis raisonnables.
  • Impactante : elle doit être applicable aux domaines d’applications à haut risque (navigateurs, lecteurs de documents, etc.).
  • Mode Utilisateur : Les méthodes d’exploitation RCE doivent être applicables aux applications en mode utilisateur.
  • Dernière version : elle doit être applicable à la dernière version de nos produits à la date de soumission de l’entrée.
  • Nouveauté : il doit s’agir d’une méthode distincte et nouvelle qui est inconnue de Microsoft et qui n’a pas été décrite dans des travaux antérieurs.

Toutes les soumissions qualifiées peuvent donner lieu à des récompenses allant jusqu’à 100 000 USD. Les soumissions avec une preuve de concept, un exploit fonctionnel, une rédaction détaillée et/ou un livre blanc seront admissibles à des récompenses plus élevées.

DE QUOI UNE SOUMISSION DE DÉFENSE ÉLIGIBLE À UNE PRIME EST-ELLE CONSTITUÉE ?

Les soumissions de primes pour des propositions de mesures défensives (« soumissions de défense ») fournies à Microsoft doivent répondre aux critères suivants pour être éligibles dans le cadre de ce programme :

Les soumissions de mesures défensives éligibles incluront un livre blanc technique pour décrire l’idée de mesure défensive qui pourrait bloquer efficacement une technique d’exploitation qui contourne actuellement les dernières atténuations de la plateforme ou une soumission défensive qui bloque les exploits et qui n’est pas dans la dernière plateforme.

Les soumissions de mesures défensives qualifiées sont éligibles pour recevoir un bonus pouvant atteindre 100 000 USD, selon la qualité et le caractère unique de l’idée de mesure défensive.

Microsoft se réserve le droit d’accepter ou de rejeter une soumission, à sa seule discrétion, si elle juge que celle-ci ne répond pas aux critères ci-dessus.

Vous trouverez des informations générales et des descriptions sur les atténuations de la plateforme Windows dans le livre blanc sur l’Atténuation des vulnérabilités logicielles.

PORTÉE DU CONTOURNEMENT D’ATTÉNUATION

Les tableaux suivants fournissent une liste des atténuations de mode Utilisateur qui sont explicitement dans la portée, et la définition des techniques qui entrent ou non dans le champ d’application pour chaque atténuation. Les soumissions qui exploitent d’autres techniques d’exploitation novatrices qui ne sont pas considérées hors de portée et ne sont pas répertoriées ci-dessous peuvent tout de même bénéficier d’une prime. Une soumission de contournement doit fonctionner lorsque toutes les atténuations prises en charge dans la dernière build WIP Anneau rapide sont activées. Cela signifie qu’une soumission doit supposer que les atténuations telles que DEP, ASLR, CIG, ACG, etc. sont toutes activées par l’application cible même si elles ne sont pas actuellement activées par défaut dans tous les scénarios au moment de la soumission.

Cette portée peut être modifiée à tout moment à la discrétion de Microsoft.

Atténuations liées à l’intégrité des flux de contrôle

Les mesures d’atténuation suivantes prennent en charge les protections d’intégrité des flux de contrôle de Microsoft.

Atténuation
Entrant dans le champ d’application
Non pris en compte
Techniques permettant d’exécuter du code à partir de la mémoire non exécutable dans un processus qui a activé DEP (toujours activé)
  • Réutilisation de code déjà exécutable

Atténuations liées à l’intégrité du code


Atténuation Entrant dans le champ d’application Hors champ d’application
Techniques permettant de générer ou de modifier dynamiquement du code dans un processus qui a activé le ProcessDynamicCodePolicy (ProhibitDynamicCode = 1).
  • Les contournements qui dépendent de la désactivation des threads sont activés (AllowThreadOptOut = 1).
Techniques permettant de charger un binaire incorrectement signé dans un processus qui a activé des restrictions de signature de code (par exemple ProcessSignaturePolicy).
  • Injection en mémoire de pages de codes d’images non signées

Prise en charge des atténuations

Atténuation
Entrant dans le champ d’application
Hors champ d’application
Techniques permettant de générer un processus enfant à partir d’un processus qui a limité la création de processus enfant (via la stratégie de processus enfant).

Techniques permettant de contourner de manière générique ASLR dans les applications 64 bits qui activent la randomisation du format d’espace d’adresse d’entropie élevée et forcent la relocalisation des images.
  • Vulnérabilités individuelles permettant la divulgation d’informations sur l’espace d’adressage
  • Inférence d’adresse via GC
  • Contournements ASLR 32 bits
Techniques pouvant être utilisées pour détourner le flux de contrôle en corrompant un enregistrement d’inscription SEH dans un processus/une image qui active SEHOP et Safe SEH
  • Techniques qui supposent la connaissance de l’emplacement d’une pile
  • Techniques reposant sur des images SEH non sûres
Techniques pouvant être utilisées pour obtenir une corruption des métadonnées fiable ou une corruption des données utilisateur.

NIVEAUX DE PRIME DES CONTOURNEMENT D’ATTÉNUATION

Le tableau suivant décrit les niveaux de prime pour les soumissions de contournement d’atténuation éligibles.
Niveau
Description
Atténuations applicables
Preuve de concept
Qualité du rapport
Plage de versements maximale (USD)
Niveau 1
Avancement inédit et fondamental dans la technologie d’exploitation qui contourne universellement les atténuations actuelles S.O.
Obligatoire
Élevées
100 000 USD




Faibles
50 000 USD
Niveau 2
Contournement d’atténuation au niveau de la conception
  • Atténuations liées à l’intégrité des flux de contrôle
  • Atténuations liées à l’intégrité du code
Obligatoire
Élevées
45 000 USD
Faibles
20 000 USD
Niveau 3
Contournements d’atténuation au niveau des bogues ou de l’implémentation
  • Atténuations liées à l’intégrité des flux de contrôle
  • Atténuations liées à l’intégrité du code
  • Prise en charge des atténuations
Obligatoire
Élevées
15 000 USD
Faibles
5 000 USD
Les autres facteurs qui sont pris en compte lors de l’évaluation du montant des récompenses sont les suivants : le degré d’application générale du contournement, le niveau perçu de difficulté et de fiabilité dans l’utilisation du contournement, et l’impact global du contournement d’atténuation.

MENTION LÉGALE

Des informations supplémentaires sur les directives légales sont disponibles ici.

Merci d'avoir participé au programme de primes aux bogues de Microsoft.


HISTORIQUE DES RÉVISIONS

  • 26 juin 2013 : lancement du programme
  • 31 janvier 2017 : L’atténuation expérimentale Return Flow Guard a été supprimée de la liste des atténuations de la portée
  • 27 octobre 2017 : « Les contournements qui dépendent des conditions de concurrence ou de la gestion des exceptions » et « Les contournements qui dépendent de la suspension des threads » ont été ajoutés à la liste « Hors champ d’application » pour les atténuations de type « Control Flow Guard (CFG) ».
  • 23 janvier 2018 : Des instances de l’instrumentation CFG manquante avant un appel indirect ont été ajoutées à la section « Hors champ d’application » pour les atténuations de type « Control Flow Guard (CFG) ».
  • 20 mars 2018 : « Attaques de remplacement de code » ajoutées explicitement à la section « Hors champ d’application » pour les atténuations de type Control Flow Guard.
  • 21 juin 2018 : Suppression du Control Flow Guard de la liste des atténuations de la portée.
  • 7 août 2018 : Réintroduction accidentelle de Control Flow Guard dans la portée des primes.
  • 2 octobre 2018 : Suppression du Control Flow Guard de la liste des atténuations de la portée (résout l’erreur de publication ci-dessus).
  • 7 décembre 2018 : Suppression des données de lancement du programme dans la description du programme.