DESCRIÇÃO DO PROGRAMA

O Programa de Recompensas do Microsoft Online Services convida pesquisadores de todo o mundo para identificar e enviar vulnerabilidades em domínios e pontos de extremidade específicos da Microsoft. Os envios qualificados poderão receber recompensas de USD 500 a USD 20.000.

As recompensas serão concedidas a critério da Microsoft com base na severidade e no impacto da vulnerabilidade e na qualidade do envio. Além disso, estão sujeitas aosTermos e Condições das Recompensas da Microsoft

SERVIÇOS E PRODUTOS NO ESCOPO

A maioria das vulnerabilidades enviadas nos seguintes serviços está qualificada nos termos deste programa de recompensas:

  • Office 365
  • Conta da Microsoft

Para ver uma lista detalhada, confira a seção Domínios e Pontos de Extremidade no Escopo desta página.

Programas de Recompensas de Nuvem Relacionados

Os envios que identificarem vulnerabilidades no Azure, no Azure DevOps ou em serviços online da Microsoft relacionados à identidade serão considerados nos termos do Programa de Recompensas do Azure, do Programa de Recompensas do Azure DevOps, do Programa de Recompensas do Microsoft Dynamics 365 ou do Programa de Recompensas do Microsoft Identity. A qualificação para recompensa de todos os envios é examinada, então, não se preocupe se não souber em qual categoria seu envio se encaixa. Encaminharemos seu relatório para o programa correto. 

INTRODUÇÃO

Crie uma conta de teste e realize um teste de segurança e investigação nos locatários.

  • Para serviços do Office 365, é possível configurar uma conta de teste aqui.
  • Para a conta Microsoft, é possível configurar uma conta de teste aqui.
  • Saiba mais sobre o Office 365 na nossa página de documentação aqui

Em todos os casos, sempre que possível, inclua a cadeia de caracteres "MSOBB" no nome da conta e/ou no nome do locatário para identificá-lo como em uso pelo programa de recompensas para a localização de bugs.

O QUE É UM ENVIO QUALIFICADO?

A meta do Programa de Recompensas para a Localização de Bugs da Microsoft é descobrir vulnerabilidades técnicas significativas com impacto direto e demonstrável na segurança dos nossos clientes. Os envios de vulnerabilidades precisam atender aos seguintes critérios para se qualificar para receber a recompensa:

  • Identifique uma vulnerabilidade que não foi relatada anteriormente ou conhecida de outra forma pela Microsoft.
  • Essa vulnerabilidade deve ter severidade Crítica ou Importante e deve ser reproduzível em um dos produtos ou serviços dentro do escopo em questão
  • Inclua etapas claras, concisas e reproduzíveis, seja por escrito ou em formato de vídeo, fornecendo à nossa equipe de engenharia as informações necessárias para reproduzir, compreender e corrigir rapidamente os problemas indicados.
    • Encontre o exemplo aqui

A Microsoft poderá, de acordo com seus critérios exclusivos, aceitar qualquer envio ou rejeitá-lo, se determinar que ele não atende aos critérios acima.

COMO OS VALORES DOS PRÊMIOS SÃO DEFINIDOS? 

Os prêmios variam entre USD 500 e USD 20.000. É possível distribuir valores maiores, a critério exclusivo da Microsoft, com base na severidade e no impacto da vulnerabilidade e na qualidade do envio. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade e estiver de acordo com nosso Programa de Reconhecimento de Pesquisadores

Impacto de segurança

Qualidade do relatório

Gravidade

Crítico

Importante

Moderado

Baixo

Execução remota de código

Alto

Médio

Baixo

USD 20.000

USD 15.000

$10,000

USD 15.000

$10,000

USD 5.000

U$0

U$0

Elevação de privilégio

Alto

Médio

Baixo

US$ 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

U$0

U$0

Divulgação de informações confidenciais

Alto

Médio

Baixo

US$ 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

U$0

U$0

Falsificação

Alto

Médio

Baixo

N/D

USD 3.000

USD 1.200

USD 500

U$0

U$0

Adulteração

Alto

Médio

Baixo

N/D

USD 3.000

USD 1.200

USD 500

U$0

U$0

Negação de Serviço

Alta/baixa

Fora do escopo

N/A: vulnerabilidades que resultam no impacto de segurança listado não se qualificam para esta categoria de severidade.

Um relatório de alta qualidade fornece aos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Normalmente, isso inclui um texto ou um vídeo conciso com todas as informações de referência necessárias, uma descrição do bug e uma PoC (prova de conceito) anexada. Exemplos de relatórios de alta e baixa qualidade estão disponíveis aqui

Reconhecemos que alguns problemas são extremamente difíceis de reproduzir e entender e isso será considerado ao avaliar a qualidade de um envio.

VULNERABILIDADES NO ESCOPO 

Veja a seguir exemplos de vulnerabilidades que podem levar a um ou mais dos impactos de segurança acima: 

  • XSS (Cross-Site Scripting) 
  • CSRF (Solicitação Intersite Forjada) 
  • Violação ou acesso a dados entre locatários 
  • Referências a objetos diretos inseguros 
  • Desserialização insegura 
  • Vulnerabilidades de injeção 
  • Execução de código do servidor 
  • Configuração incorreta significativa de segurança (quando não causada pelo usuário) 
  • Uso de componentes com vulnerabilidades conhecidas 

DOMÍNIOS E PONTOS DE EXTREMIDADE NO ESCOPO

Somente os seguintes domínios e pontos de extremidade estão qualificados para prêmios de recompensa para a localização de bugs. Os subdomínios do domínio no escopo também são considerados no escopo. O teste de vulnerabilidades só deve ser realizado em locatários em assinaturas/contas pertencentes ao participante do programa.

Verifique os registros "WHOIS" para todos os IPs resolvidos antes de testar para verificar a propriedade da Microsoft. Alguns sites de host de terceiros da Microsoft em subdomínios de propriedade da Microsoft e esses terceiros não estão no escopo desse programa de recompensas para a localização de bugs.

  • protection.office.com
  • onedrive.live.com
  • onedrive.com
  • manage.windowsazure.com
  • forms.office.com
  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • outlook.live.com
  • outlook.com
  • sharepoint.com (exceto conteúdo gerado pelo usuário)
  • lync.com
  • officeapps.live.com
  • yammer.com
  • sway.com
  • sway.office.com
  • tasks.office.com
  • teams.microsoft.com
  • asm.skype.com
  • msg.skype.com
  • skyapi.live.net
  • skype.com
  • storage.live.com
  • apis.live.net
  • settings.live.net
  • policies.live.net
  • join.microsoft.com

QUAIS SÃO AS REGRAS DO TESTE DO MICROSOFT ONLINE SERVICES QUALIFICADO PARA RECOMPENSA?

O escopo do Programa de Recompensas do Microsoft Online Services é limitado a vulnerabilidades técnicas em produtos e serviços online. O seguinte não é permitido:

  • Qualquer tipo de teste de Negação de Serviço.
  • Executar testes automatizados de serviços que geram quantidades significativas de tráfego.
  • Obter acesso a qualquer dado que não seja totalmente seu. Por exemplo, você tem permissão e é incentivado a criar um pequeno número de contas de teste e/ou locatários de avaliação com a finalidade de demonstrar e provar o acesso a dados entre contas ou entre locatários. No entanto, é proibido usar uma dessas contas para acessar os dados de um cliente ou conta legítima.
  • Ir além das etapas de reprodução de "prova de conceito" para problemas de execução do servidor (por exemplo, provar que você tem acesso sysadmin com SQLi é aceitável, executar xp_cmdshell não é).
  • Tentativas de phishing ou outros ataques de engenharia social contra nossos funcionários. O escopo deste programa é limitado a vulnerabilidades técnicas no Microsoft Online Services especificado.
  • Usar nossos serviços de uma forma que viole os termos desses serviços.

Mesmo com essas proibições, a Microsoft se reserva o direito de responder a quaisquer ações em suas redes que pareçam mal-intencionadas.

VULNERABILIDADES E ENVIOS FORA DO ESCOPO

O MSRC tem o prazer de receber e examinar cada envio caso a caso, mas alguns tipos de envio e de vulnerabilidade podem não estar qualificados para recompensas. Veja alguns dos problemas de baixa severidade ou fora do escopo que normalmente não ganham recompensas: 

  • Vulnerabilidades divulgadas publicamente já relatadas à Microsoft ou já conhecidas pela comunidade de segurança como um todo
  • Padrões ou categorias de vulnerabilidade para os quais a Microsoft está investigando de maneira ativa amplas mitigações. 
  • Tipos de vulnerabilidade fora do escopo, incluindo:
    • Divulgação de informações confidenciais do servidor, como IPs, nomes de servidor e a maioria dos rastreamentos de pilha
    • Bugs do CSRF de baixo impacto (como logoff)
    • Problemas de Negação de Serviço
    • Invasão de subdomínio
    • Vulnerabilidades de reprodução de cookie
    • Redirecionamentos de URL (a menos que combinados com outra vulnerabilidade para produzir uma vulnerabilidade mais grave)
    • Bugs de "Cross-Site Scripting" no SharePoint que exigem privilégios de "Designer" ou mais altos no locatário do destino
  • Vulnerabilidades baseadas na configuração ou na ação do usuário, por exemplo:
    • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
    • Vulnerabilidades em conteúdo ou aplicativos criados pelo usuário.
      • Por exemplo, em um domínio *.sharepoint.com, se um locatário tiver exposto publicamente sua própria página HTML com qualquer tipo de vulnerabilidade (por exemplo, XSS baseado em DOM), o bug não estará qualificado para a recompensa e não será aceito como uma vulnerabilidade
    • Configuração incorreta de segurança de um serviço por um usuário, como habilitar o acesso HTTP em uma conta de armazenamento para permitir ataques MiTM (man-in-the-middle)
    • Cabeçalhos de segurança HTTP ausentes (como X-FRAME-OPTIONS) ou sinalizadores de segurança de cookies (como "httponly")
    • Vulnerabilidades usadas para enumerar ou confirmar a existência de usuários ou locatários
  • Vulnerabilidades baseadas em terceiros, por exemplo:
    • Vulnerabilidades em software de terceiros fornecido pelo Azure, como imagens da galeria e aplicativos de ISV
    • Vulnerabilidades em tecnologias de plataforma que não são exclusivas dos serviços online em questão (por exemplo, vulnerabilidades do Apache ou IIS)
  • Vulnerabilidades no aplicativo Web que afetam somente navegadores e plug-ins não compatíveis
  • Treinamento, documentação, exemplos e sites de fórum da Comunidade relacionados aos  produtos e serviços online da Microsoft não estão no escopo da recompensa

Reservamo-nos o direito, a nosso critério exclusivo, de aceitar ou rejeitar qualquer envio que se enquadre nessas categorias de vulnerabilidades, mesmo se estiver qualificado para uma recompensa de outra forma. 

Se eu encontrar uma vulnerabilidade ao fazer um teste de penetração no Microsoft Azure, estarei qualificado para a recompensa?

É sua responsabilidade estar em conformidade com as Regras de Participação em Testes de Penetração Unificados do Microsoft Cloud. Para receber uma recompensa, uma organização ou uma pessoa precisa enviar um relatório identificando uma vulnerabilidade qualificada para recompensa à Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bug.

INFORMAÇÕES ADICIONAIS

Para obter informações adicionais, confira nossas perguntas frequentes.

  • Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio. 
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor. 
  • Se um envio for potencialmente qualificado para vários programas de recompensas, você receberá somente o prêmio que corresponda ao maior valor, de apernas um programa de recompensas.
  • A Microsoft reserva-se o direito de rejeitar qualquer envio, de acordo com seus critérios exclusivos, que determinar não atender a esses critérios.

Agradecemos sua participação no programa de recompensas da Microsoft para identificação de bugs.

 

 

HISTÓRICO DE REVISÃO

  • Setembro de 2014: lançamento do programa.
  • Abril de 2015: atualização do escopo do programa.
  • Agosto de 2015: atualização do escopo do programa e alteração do nome do programa de recompensas de Programa de Recompensas do Online Services para Programa de Recompensas do Cloud.
  • 17 de julho de 2018: vulnerabilidades relacionadas à identidade movidas para o Programa de Recompensas do Microsoft Identity (https://www.microsoft.com/msrc/bounty-microsoft-identity)
  • 7 de dezembro de 2018: introdução do programa atualizado, link para as perguntas frequentes e acréscimo da seção de histórico de revisão.
  • 17 de janeiro de 2019: atualização das faixas de prêmios com base no impacto, na severidade e na qualidade do relatório. Acréscimo do resumo no escopo.
  • 12 de junho de 2019: acréscimo do outlook.live.com ao escopo da recompensa.
  • 17 de julho de 2019: acréscimo do Skype.com e do tasks.office.com ao escopo da recompensa
  • 5 de agosto de 2019: separação do Programa de Recompensas do Cloud em Programa de Recompensas do Online Services e Programa de Recompensas do Azure. Escopo relacionado ao Azure movido para o Programa de Recompensas do Azure. Atualização das diretrizes de teste de penetração.
  • 2 de setembro de 2020: adicionado "treinamento, documentação, exemplos e sites de fórum da Comunidade" à lista de envios fora do escopo. Seções "Prêmios de recompensa" e "Informações adicionais" combinadas. 
  • 15 de setembro de 2020: Adicionado retornado "forms.office.com" para o escopo da recompensa,   removido "azure.microsoft.com/en-us/blog"
  • 21 de setembro de 2020: Removido "www.office.com" do escopo da recompensa, removido "portal.azure.com" do escopo dessa recompensa. "portal.azure.com" é coberto no âmbito do Programa de Recompensas do Azure.