DESCRIÇÃO DO PROGRAMA 

O Microsoft Azure é um conjunto sempre em expansão de serviços de computação em nuvem que ajuda organizações a criar, gerenciar e implantar aplicativos em uma rede global grande com suas ferramentas e estruturas preferenciais. O Programa de Recompensas do Microsoft Azure convida pesquisadores de todo o mundo a identificar vulnerabilidades nos produtos e serviços do Azure e compartilhá-los com nossa equipe. Envios qualificados poderão receber recompensas de US$ 500 a US$ 40.000.

O programa de recompensas está sujeito a estes termos e àqueles descritos nos Termos e Condições do Programa de Recompensas da Microsoft. 

SERVIÇOS E PRODUTOS NO ESCOPO 

A maioria das vulnerabilidades enviadas para produtos do Azure estão qualificadas nestes termos ou a um programa de recompensas relacionado da Microsoft. Veja abaixo uma seleção de produtos do Azure de alta prioridade e uma boa opção para começar.

Produtos do Azure de alta prioridade 

Encontre a lista completa de produtos do Azure no escopo para obter recompensas  aqui

Programas de Recompensas relacionados do Cloud 

Envios com identificação de vulnerabilidades no Office 365, na conta Microsoft, no Azure DevOps e em outros serviços online serão considerados nos termos dos programas de recompensas do Cloud específicos para serviços ou produtos, incluindo o Programa de Recompensas do Online Services, o Programa de Recompensas do Microsoft Identity, o Programa de Recompensas do Azure DevOps ou o Programa de Recompensas do Microsoft Dynamics 365. Todos os envios serão examinados quanto à qualificação para recompensa, então não se preocupe se não souber em qual categoria seu envio se encaixa. Encaminharemos seu relatório para o programa correto. 

INTRODUÇÃO 

Crie uma conta de teste e realize um teste de segurança e investigação nos locatários. 

Em todos os casos, sempre que possível, inclua a cadeia de caracteres "MSOBB" no nome da conta e/ou no nome do locatário para identificá-lo como em uso pela pesquisa de segurança. 

DESAFIO DO CENÁRIO DO AZURE SECURITY LAB 

Nos desafios de cenário do Azure Security Lab, fornecemos mais conteúdo e recursos para munir melhor os pesquisadores de segurança com as ferramentas necessárias para estudar vulnerabilidades de alto impacto na nuvem. Veja os desafios que estão em andamento na página do Azure Security Lab.

COMO OS VALORES DOS PRÊMIOS SÃO DEFINIDOS? 

Os prêmios de recompensa variam de US$ 500 até US$ 40.000. É possível conceder prêmios maiores, a critério exclusivo da Microsoft, com base na severidade e no impacto da vulnerabilidade e na qualidade do envio. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade. 

Impacto de segurança

Qualidade do relatório

Gravidade

Crítico

Importante

Moderado

Baixo

Execução remota de código

Alto

Médio

Baixo

US$ 40.000

USD 20.000

$10,000

USD 30.000

USD 20.000

$10,000

U$0

U$0

Elevação de privilégio

Alto

Médio

Baixo

US$ 40.000

USD 30.000

USD 20.000

$10,000

USD 4.000

USD 2.000

U$0

U$0

Divulgação de informações confidenciais

Alto

Médio

Baixo

USD 12.000

USD 6.000

USD 4.500

USD 7.500

USD 3.000

USD 1.500

U$0

U$0

Falsificação

Alto

Médio

Baixo

N/D

USD 3.000

USD 1.200

USD 500

U$0

U$0

Adulteração

Alto

Médio

Baixo

N/D

USD 3.000

USD 1.200

USD 500

U$0

U$0

Negação de Serviço

Alta/baixa

Fora do escopo

N/A: vulnerabilidades que resultam no impacto de segurança listado não se qualificam para esta categoria de severidade. 

Um relatório de alta qualidade fornece aos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Normalmente, isso inclui um texto ou um vídeo conciso com todas as informações de referência necessárias, uma descrição do bug e uma PoC (prova de conceito) anexada. Exemplos de relatórios de alta e baixa qualidade estão disponíveis aqui

Reconhecemos que alguns problemas são extremamente difíceis de reproduzir e entender e isso será considerado ao avaliar a qualidade de um envio. 

VULNERABILIDADES NO ESCOPO 

Veja a seguir exemplos de vulnerabilidades que podem levar a um ou mais dos impactos de segurança acima: 

  • XSS (Cross-Site Scripting) 
  • CSRF (Solicitação Intersite Forjada) 
  • Violação ou acesso a dados entre locatários 
  • Referências a objetos diretos inseguros 
  • Desserialização insegura 
  • Vulnerabilidades de injeção 
  • Execução de código do servidor 
  • Configuração incorreta significativa de segurança (quando não causada pelo usuário) 
  • Uso de componentes com vulnerabilidades conhecidas 
    • É necessária PoC (prova de conceito) completa da explorabilidade. Por exemplo, simplesmente identificar uma biblioteca desatualizada não seria qualificável para um prêmio.

O QUE É UM ENVIO QUALIFICADO? 

A meta do Programa de Recompensas para a Localização de Bugs da Microsoft é descobrir vulnerabilidades significativas com impacto direto e demonstrável na segurança dos nossos clientes. Os envios de vulnerabilidades precisam atender aos seguintes critérios para se qualificar para receber a recompensa: 

  • Identifique uma vulnerabilidade que não foi relatada anteriormente ou conhecida de outra forma pela Microsoft.
  • Essa vulnerabilidade precisa ter uma severidade Crítica ou Importante não relatada anteriormente e ser reproduzível em um dos produtos ou serviços no escopo.
  • Inclua etapas claras, concisas e reproduzíveis, por escrito ou em formato de vídeo.
    • Forneça aos nossos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente.  

A Microsoft poderá aceitar ou rejeitar qualquer envio, de acordo com seus critérios exclusivos, que determinar não atender a esses critérios. 

QUAIS SÃO AS REGRAS DO TESTE DO MICROSOFT ONLINE SERVICES QUALIFICADO PARA RECOMPENSA? 

O escopo do Programa de Recompensas do Azure é limitado a vulnerabilidades técnicas em produtos e serviços relacionados ao Azure. O seguinte não é permitido:

  • Qualquer tipo de teste de Negação de Serviço.
  • Executar testes automatizados de serviços que geram quantidades significativas de tráfego. 
  • Obter acesso a qualquer dado que não seja totalmente seu. Por exemplo, você tem permissão e é incentivado a criar um pequeno número de contas de teste e/ou locatários de avaliação com a finalidade de demonstrar e provar o acesso a dados entre contas ou entre locatários. No entanto, é proibido usar uma dessas contas para acessar os dados de um cliente ou conta legítima. 
  • Ir além das etapas de reprodução de "prova de conceito" para problemas de execução do servidor (por exemplo, provar que você tem acesso sysadmin com SQLi é aceitável, executar xp_cmdshell não é). 
  • Tentativas de phishing ou outros ataques de engenharia social contra outros usuários, incluindo nossos funcionários. O escopo deste programa é limitado a vulnerabilidades técnicas no Microsoft Online Services especificado. 
  • Usar nossos serviços de uma forma que viole os termos desse serviço. 

Mesmo com essas proibições, a Microsoft se reserva o direito de responder a quaisquer ações em suas redes que pareçam mal-intencionadas. 

VULNERABILIDADES E ENVIOS FORA DO ESCOPO 

A Microsoft tem o prazer de receber e examinar cada envio caso a caso, mas alguns tipos de envio e de vulnerabilidade podem não estar qualificados para recompensas. Veja alguns dos problemas comuns de baixa severidade ou fora do escopo que normalmente não ganham recompensas: 

  • Vulnerabilidades divulgadas publicamente já relatadas à Microsoft ou já conhecidas pela comunidade de segurança como um todo
  • Padrões ou categorias de vulnerabilidade para os quais a Microsoft já está buscando amplas mitigações. Por exemplo, desde agosto de 2020, estão incluídas, sem limitação,
    • Vulnerabilidades que dependem de extensões VSCode
  • Tipos de vulnerabilidade fora do escopo, incluindo:
    • Vulnerabilidades que exijam acesso físico a componentes de hardware
    • Redirecionamentos de URL (a menos que combinados com outra vulnerabilidade para produzir uma vulnerabilidade mais grave)
    • Vulnerabilidades de reprodução de cookie 
    • Invasão de subdomínio 
    • Problemas de Negação de Serviço
    • Bugs do CSRF de baixo impacto (como logoff) 
    • Divulgação de informações confidenciais do servidor, como IPs, nomes de servidor e a maioria dos rastreamentos de pilha 
  • Vulnerabilidades baseadas na configuração ou na ação do usuário, por exemplo: 
    • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário 
    • Vulnerabilidades em conteúdo ou aplicativos criados pelo usuário. 
    • Configuração incorreta de segurança de um serviço por um usuário, como habilitar o acesso HTTP em uma conta de armazenamento para permitir ataques MiTM (man-in-the-middle) 
    • Cabeçalhos de segurança HTTP ausentes (como X-FRAME-OPTIONS) ou sinalizadores de segurança de cookies (como "httponly") 
    • Vulnerabilidades usadas para enumerar ou confirmar a existência de usuários ou locatários 
  • Vulnerabilidades baseadas em terceiros, por exemplo: 
    • Vulnerabilidades em software de terceiros fornecido pelo Azure, como imagens da galeria e aplicativos de ISV 
    • Vulnerabilidades em tecnologias de plataforma que não são exclusivas dos serviços online em questão (por exemplo, vulnerabilidades do Apache ou IIS) 
  • Vulnerabilidades no aplicativo Web que afetam somente navegadores e plug-ins não compatíveis
  • Treinamento, documentação, exemplos e sites de fórum da comunidade relacionados aos produtos e aos serviços do Azure não estão no escopo para prêmios de recompensa, a menos que estejam listados em "Domínios e pontos de extremidade no escopo", por exemplo:
    • azure.microsoft.com/en-us/services
    • docs.microsoft.com/en-us/azure
    • docs.microsoft.com/en-us/azure/*
    • docs.microsoft.com/en-us/cli/azure/*
    • github.com/Azure-Samples/
    • github.com/microsoft/iot-samples
    • azure.microsoft.com/en-us/resources/samples
    • feedback.azure.com/forums/*

Reservamo-nos o direito, a nosso critério exclusivo, de rejeitar qualquer envio que se enquadre nessas categorias de vulnerabilidades, mesmo se estiver qualificado para uma recompensa de outra forma. 

INFORMAÇÕES ADICIONAIS

Para obter informações adicionais, confira nossas perguntas frequentes

Se eu encontrar uma vulnerabilidade ao fazer um teste de penetração no Microsoft Azure, estarei qualificado para a recompensa?

É sua responsabilidade estar em conformidade com as Regras de Participação em Testes de Penetração Unificados do Microsoft Cloud. Para receber uma recompensa, uma organização ou uma pessoa precisa enviar um relatório identificando uma vulnerabilidade qualificada para recompensa à Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bug.

Agradecemos sua participação no Programa de Recompensas para a Localização de Bugs da Microsoft. 

HISTÓRICO DE REVISÃO 

  • Setembro de 2014: lançamento do programa. 
  • Abril de 2015: atualização do escopo do programa. 
  • Agosto de 2015: atualização do escopo do programa e alteração do nome do programa de recompensas de Programa de Recompensas do Online Services para Programa de Recompensas do Cloud. 
  • 17 de julho de 2018: vulnerabilidades relacionadas à identidade movidas para o Programa de Recompensas do Microsoft Identity. (https://www.microsoft.com/msrc/bounty-microsoft-identity) 
  • 7 de dezembro de 2018: introdução do programa atualizada, link para as perguntas frequentes e acréscimo da seção de histórico de revisão. 
  • 17 de janeiro de 2019: atualização das faixas de prêmios com base no impacto, na severidade e na qualidade do relatório. Acréscimo do resumo no escopo. 
  • 17 de junho de 2019: separação do Programa de Recompensas do Azure do Programa de Recompensas do Online Services, serviços do Azure no escopo destacados, aumento das faixas de prêmios. Treinamento, documentação, exemplo e sites de comunidade movidos para fora do escopo. Atualização das diretrizes de teste de penetração.
  • 29 de agosto de 2019: Esclarecimento dos cenários do Laboratório de Segurança do Azure. Adição de "persistente" ao cenário de DoS e remoção de "outra VM convidada" do cenário de escape da VM.
  • 26 de dezembro de 2019: foi esclarecido que os pontos de extremidade listados são exemplos. Os serviços listados em https://azure.microsoft.com/en-us/services estão no escopo para recompensas deste programa ou dos programas de recompensas da Microsoft. O online.visualstudio.com foi adicionado como um domínio de exemplo.
  • 21 de janeiro de 2020: todos os pontos de extremidade listados foram removidos. A maior parte do Azure está no escopo de recompensa.
  • 24 de fevereiro de 2020: O Azure Sphere foi adicionado para destacar os serviços no escopo. 
  • 5 de maio de 2020: O conteúdo do Laboratório de Segurança do Azure foi movido para uma página independente do programa. A linguagem do programa de recompensas foi padronizada.
  • 24 de agosto de 2020: Adicionado como fora do escopo: vulnerabilidades que dependem de extensões VSCode.