프로그램 설명

Microsoft Hyper-V 장려금 프로그램을 통해 전 세계 개별 사용자는 Microsoft Hyper-V 적격 제품 버전의 취약성을 제출하여 최대 $250,000 USD의 장려금을 받을 수 있습니다. Microsoft는 RCE(원격 코드 실행), ID(정보 공개) 및 DOS(서비스 거부)의 세 가지 취약성 유형에 대해 장려금을 지급합니다. 모든 장려금은 Microsoft의 판단에 따라 지급됩니다.
 
이 장려금 프로그램에는 이 약관과 Microsoft 장려금 계약조건에 나와 있는 약관이 적용됩니다.

적격 제출의 조건

Microsoft 버그 신고 장려금 프로그램에서는 제출자가 버그를 발견하기 위해 노력한 연구 결과를 반영하는 높은 품질의 제출을 보상하려고 합니다. 신고서의 목표는 Microsoft 개발자와 엔지니어가 발견한 취약성을 빠르고 효율적으로 파악하고 재현할 수 있도록 정보와 전문 지식을 공유하는 것입니다. 이렇게 하면 취약성을 수정할 수 있는 배경과 컨텍스트를 갖게 됩니다.
 
Microsoft에 제공한 취약성 제출이 장려금 지급 대상이 되려면 다음 조건을 충족해야 합니다.
 
  • 범위 내 목록에 나열된 Microsoft Hyper-V 기술에서 재현되고, 이전에 신고되지 않은 독창적인 RCE(원격 코드 실행), ID(정보 공개) 또는 DoS(서비스 거부) 취약성을 확인합니다.
  • 문제에 대한 설명과 쉽게 이해할 수 있는 간결한 재현 단계를 포함합니다. (이렇게 하면 제출을 최대한 빠르게 처리할 수 있으며, 신고되는 취약성 유형에 대한 최고 금액이 지급됩니다.)
  • 취약성의 영향을 포함합니다.
  • 명확하지 않은 경우 공격 벡터를 포함합니다.

범위:

  • Windows 10(최신 Windows Insider Preview 이후 빌드)의 Hyper-V
    • Windows 10의 Hyper-V 관련 취약성을 제출하는 경우, 취약성이 최근 WIP 이후 빌드에서 재현되어야만 장려금을 받을 수 있습니다.
    • 이전 WIP 이후 빌드에서는 재현되지만, 제출 당시의 최신 WIP 이후 빌드에서 재현되지 않는 제출은 부적격입니다.
  • Windows Server 2016(사용 가능한 최신 버전)의 Hyper-V
  • Hyper-V 격리 컨테이너

범위 외:

  • 하드웨어 및 펌웨어 문제
  • 호스트에서 공격자 실행 코드를 통해서만 트리거될 수 있는 취약성
  • Docker, Kubernetes 등의 타사 코드 기반 취약성

장려금 설정 방법

장려금 적격 제출의 지급액은 $5,000~$250,000입니다. 신고서 품질과 취약성의 보안 영향에 따라 더 많은 장려금이 지급됩니다. 보안 연구원은 가장 많은 장려금을 받을 수 있도록 제출 시 최대한 많은 데이터를 제공하는 것이 좋습니다. 일반적으로 상당한 사용자 조작이 필요한 취약성에는 더 적은 장려금이 지급됩니다.
 
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 최초 제출에 지급됩니다.
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 차등 장려금이 지급될 수 있습니다.
  • 제출이 잠재적으로 여러 장려금 프로그램에 적합한 경우, 단일 장려금 프로그램의 가장 많은 지급액 하나를 받게 됩니다.
  • Microsoft는 위의 조건을 충족하지 않는다고 확인된 모든 제출을 단독 판단에 따라 거부할 수 있는 권리가 있습니다.
높은 품질의 신고서는 엔지니어가 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 제공합니다. 이렇게 하려면 일반적으로 필요한 배경 정보, 버그 설명, 개념 증명이 포함된 간결한 문서를 포함합니다. 일부 문제는 재현 및 파악하기가 매우 어렵다는 것을 인정하며, 제출 품질을 심사할 때 고려됩니다.

장려금 프로그램 계층

지급 구조를 이해하기 쉽도록 범위를 다음과 같은 계층으로 나누었습니다.
 
  • 계층 1: 하이퍼바이저 및 호스트 커널 포함
  • 계층 2: VM 작업자 프로세스 및 VM 컴퓨팅을 포함하되 이에만 제한되지 않고 사용자 모드 프로세스 포함
  • 계층 3: 레거시 네트워크 어댑터(1세대), 파이버 채널 어댑터 등의 Hyper-V 구성 요소 포함
     

원격 코드 실행

적격 제출은 게스트 가상 머신이 하이퍼바이저를 손상하거나, 게스트 가상 머신에서 호스트로 이스케이프하거나, 게스트 가상 머신 간에 이스케이프할 수 있게 해주는 Microsoft Hyper-V의 RCE 취약성을 포함합니다.
취약성 유형
계층
개념 증명
작동하는 익스플로잇
신고서 품질
지급액 범위(USD)*
RCE
계층 1
필수
높음
$250,000
아니요.
높음
$200,000
아니요. 낮음 $50,000
RCE
계층 2
필수
높음
$150,000
아니요.
높음
$100,000
아니요. 낮음 $25,000
RCE
계층 3
필수
높음
$20,000
아니요.
높음
$15,000
아니요. 낮음 $5,000
서비스 거부 및 정보 공개
취약성의 결과로 다음 중 하나가 발생해야 합니다.
 
  • 호스트 머신의 작동이 중단되어 서비스 거부 상태 발생
  • VM 시작 및 중지 오류 발생
  • 호스트 머신 또는 다른 게스트 머신에서 중요한 정보 확보
 
취약성 유형 계층 개념 증명 신고서 품질 지급액 범위(USD)
DOS 계층 1 필수 높음 $15,000
낮음 $5,000
정보 공개 계층 1 필수 높음 $25,000
낮음 $5,000
계층 2 필수 높음 $15,000
낮음 $5,000

추가 정보

추가 정보는 FAQ를 참조하세요.

수정 기록

2017년 5월 31일: 프로그램을 시작했습니다.
2018년 12월 7일: 수정 기록을 추가했습니다.
2019년 1월 22일: Hyper-V 격리 컨테이너를 장려금 범위에 추가했습니다.
2019년 3월 15일: 계층 2 정의에 예제를 추가하고, 타사 코드 취약성을 범위 외로 지정했습니다.
2020년 4월 13일: 장려금 범위에서 Remotefx®를 제거했습니다. 
 

Microsoft 버그 장려금 프로그램에 참여해 주셔서 감사합니다.