DESCRIÇÃO DO PROGRAMA

O Dynamics 365 é um conjunto de aplicativos de negócios inteligentes projetado para conectar clientes, produtos, pessoas e operações. Convidamos pessoas e organizações a identificar vulnerabilidades de segurança em aplicativos alvo do Dynamics 365 e a compartilhá-las com nossa equipe. Envios qualificados poderão ganhar recompensas de USD 500 a USD 20.000.  

As recompensas serão concedidas a critério da Microsoft com base na severidade e no impacto da vulnerabilidade e na qualidade do envio. Além disso, estão sujeitas aos Termos e Condições das Recompensas da Microsoft

SERVIÇOS E PRODUTOS NO ESCOPO 

A maioria das vulnerabilidades enviadas sobre aplicativos do Dynamics 365 se qualifica para este programa. 

  • Aplicativos online do Microsoft Dynamics 365, incluindo 
    • Dynamics 365 for Sales 
    • Dynamics 365 for Customer Service 
    • Dynamics 365 for Field Service 
    • Dynamics 365 for Talent 
    • Dynamics 365 for Finance and Operations 
    • Dynamics 365 for Retail 
    • Dynamics 365 for Project Service Automation 
    • Dynamics 365 for Marketing 
    • Dynamics 365 Remote Assist 
    • Dynamics 365 Layout 
    • Dynamics 365 AI for Sales 
    • Dynamics 365 AI for Customer Service 
    • Dynamics 365 AI for Market Insights
    • Dynamics 365 Business Central
    • Dynamics 365 General 
  • Produtos locais do Microsoft Dynamics 365 
    • Microsoft Dynamics AX 
    • Microsoft Dynamics CRM 
    • Microsoft Dynamics GP 
    • Microsoft Dynamics NAV
    • Microsoft Dynamics SL 

Envios que identificam vulnerabilidades no Office 365, na conta Microsoft, no Azure DevOps e em outros serviços online serão considerados em nossos programas de recompensas de nuvem específicos do serviço ou do produto, incluindo o Programa de Recompensas de Nuvem, o Programa de Recompensas do Microsoft Identity ou o Programa de Recompensas do Azure DevOps. Todos os envios são examinados quanto à qualificação para recompensa, portanto, não se preocupe se não souber em qual categoria seu envio se encaixa. Encaminharemos seu relatório para o programa correto. 

O QUE É UM ENVIO QUALIFICADO? 

A meta do Programa de Recompensas para a Localização de Bugs da Microsoft é descobrir vulnerabilidades significativas com impacto direto e demonstrável na segurança dos nossos usuários. Os envios de vulnerabilidades precisam atender aos seguintes critérios para se qualificar para receber a recompensa: 

  • Identificar uma vulnerabilidade não relatada anteriormente em um dos serviços ou produtos no escopo. 
  • Incluir etapas claras, concisas e reproduzíveis, por escrito ou em formato de vídeo, para ajudar nossos engenheiros a entender, reproduzir e corrigir o problema rapidamente. 
    • Isso permite que os envios sejam processados o mais rapidamente possível e possibilita prêmios de recompensa mais altos. 

INTRODUÇÃO 

COMO OS VALORES SÃO DEFINIDOS? 

Os prêmios de recompensa vão de USD 500 até USD 20.000. É possível conceder prêmios maiores, a critério exclusivo da Microsoft, com base na severidade e no impacto da vulnerabilidade e na qualidade do envio. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade. 

Impacto de segurança

Qualidade do relatório

Gravidade

Crítico

Importante

Moderado

Baixo

Execução remota de código

Alto

Média

Baixo

USD 20.000

USD 15.000

USD 10.000

USD 15.000

USD 10.000

USD 5.000

USD 0

USD 0

Elevação de privilégio

Alto

Média

Baixo

USD 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

USD 0

USD 0

Divulgação de informações confidenciais

Alto

Média

Baixo

USD 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

USD 0

USD 0

Falsificação

Alto

Média

Baixo

N/D

USD 3.000

USD 1.200

USD 500

USD 0

USD 0

Adulteração

Alto

Média

Baixo

N/D

USD 3.000

USD 1.200

USD 500

USD 0

USD 0

Negação de serviço

Alta/baixa

Fora do escopo

N/A: vulnerabilidades que resultam no impacto de segurança listado não se qualificam para esta categoria de severidade. 

Um relatório de alta qualidade fornece aos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Normalmente, isso inclui um texto ou um vídeo conciso com todas as informações de referência necessárias, uma descrição do bug e uma PoC (prova de conceito). Exemplos de relatórios de alta e baixa qualidade estão disponíveis aqui

Reconhecemos que alguns problemas são extremamente difíceis de reproduzir e entender e isso será considerado ao avaliar a qualidade de um envio. 

VULNERABILIDADES NO ESCOPO 

Veja a seguir exemplos de vulnerabilidades que podem levar a um ou mais dos impactos de segurança acima: 

  • XXS (Cross-Site Scripting) 
  • CSRF (Solicitação Intersite Forjada) 
  • Violação ou acesso a dados entre locatários 
  • Referências a objetos diretos inseguros 
  • Desserialização insegura 
  • Vulnerabilidades de injeção 
  • Execução de código do servidor 
  • Configuração incorreta significativa de segurança (quando não causada pelo usuário) 
  • Violação ou acesso não autorizado a dados entre locatários 

VULNERABILIDADES FORA DO ESCOPO 

A Microsoft tem o prazer de receber e examinar cada envio caso a caso, mas alguns tipos de envio e de vulnerabilidade podem não estar qualificados para recompensas. Veja alguns dos problemas de baixa severidade ou fora do escopo que normalmente não ganham recompensas: 

 

  • Vulnerabilidades divulgadas publicamente já relatadas à Microsoft ou já conhecidas pela comunidade de segurança como um todo 
  • Vulnerabilidades em qualquer versão que não seja a versão mais recente e totalmente corrigida no momento do envio 
  • Vulnerabilidades baseadas na configuração ou na ação do usuário, por exemplo: 
    • Vulnerabilidades baseadas em conteúdo ou em aplicativos criados pelo usuário 
    • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário 
    • Configuração incorreta de segurança de um serviço por um usuário ou administrador 
  • Vulnerabilidades baseadas em terceiros, por exemplo: 
    • Vulnerabilidades em softwares de terceiros 
    • Vulnerabilidades em extensões de terceiros 
    • Vulnerabilidades em tecnologias de plataformas que não são exclusivas do Dynamics 365 (por exemplo, IIS, OpenSSL, etc.) 
  • Tipos de vulnerabilidade fora do escopo, incluindo: 
    • Divulgação de informações confidenciais do servidor 
    • Ataques de DoS (negação de serviço) 
    • Vulnerabilidades de reprodução de cookie 
  • Vulnerabilidades em outros produtos da Microsoft 
    • Confira a lista completa de Programas de Recompensas de outros produtos e serviços da Microsoft qualificados para recompensa.
  • Treinamento, documentação e sites da comunidade relacionados aos produtos Dynamics 365 não estão no escopo de prêmios de recompensas, incluindo
    • experience.dynamics.com
    • community.dynamics.com

   

A Microsoft poderá rejeitar (a seu critério exclusivo) qualquer envio que se enquadre nessas categorias, mesmo se estiver qualificado para uma recompensa de outra forma. 

COMO POSSO FAZER MEU ENVIO? 

Faça o envio completo para a Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bugs. Solicitamos que você siga a Divulgação de Vulnerabilidades Coordenada ao relatar todas as vulnerabilidades. Dedicaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos. 

 

Alguma pergunta? Sempre estamos disponíveis em secure@microsoft.com

PRÊMIOS DE RECOMPENSA 

A Microsoft mantém um critério exclusivo para determinar os valores do prêmio e quais envios estão qualificados e no escopo. 

  • Não há restrições quanto ao número de envios qualificados que um remetente pode fornecer ou ao número de prêmios que um remetente pode receber. 
  • Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio. 
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor. 
  • Se um envio for possivelmente qualificado para vários programas de recompensas, você receberá o prêmio único de maior valor de somente um programa de recompensas 

TERMOS E CONDIÇÕES DA RECOMPENSA 

Para saber mais sobre os requisitos e as diretrizes legais do programa de recompensas da Microsoft, confira os Termos de Recompensa e nossas Perguntas frequentes. 

HISTÓRICO DE REVISÃO 

  • 17 de julho de 2019: lançamento do programa.
  • 29 de julho de 2019: domínios de treinamento e documentação removidos do escopo, incluindo experience.dynamics.com e community.dynamics.com.