DESCRIÇÃO DO PROGRAMA

Por meio do Programa de Recompensas por Bypass de Mitigação e Recompensas por Defesa da Microsoft, pessoas do mundo inteiro têm a oportunidade de enviar um bypass de mitigação para nossa plataforma do Windows mais recentes, além de serem convidados a enviar uma ideia de defesa que bloquearia uma técnica de exploração que, atualmente, faz bypass das mitigações mais recentes da plataforma. Nesse programa, envios qualificados de bypasses de mitigação podem receber prêmios de até USD 100.000 e técnicas de defesa qualificadas podem receber uma recompensa de até USD 100.000, podendo totalizar até USD 200.000. Todas as recompensas serão distribuídas a critério da Microsoft.

Se você estiver enviando uma nova técnica de bypass de mitigação que encontrou em um ataque ativo, observe que temos um programa separado semelhante para você. Os termos que aparecem aqui são voltados para pessoas que estão enviando ideias próprias de novas técnicas de bypass de mitigação.

Se você estiver enviando uma ideia própria, leia todos os termos abaixo e, então, envie sua entrada para secure@microsoft.com para consideração. Se você estiver enviando uma técnica que encontrou em uso em um ataque ativo, primeiro você precisará fazer um pré-registro conosco enviando emails para bounty@microsoft.com e secure@microsoft.com para obter mais detalhes.

O QUE É UM ENVIO QUALIFICADO DE BYPASS DE MITIGAÇÃO?

Envios de bypass qualificados deverão incluir um white paper ou um documento breve explicando o método de exploração e o alvo, referentes a um dos seguintes cenários:

  • Um novo método de exploração de uma vulnerabilidade de RCE (execução de código remota) real. Por vulnerabilidade de RCE real, entendemos uma RCE existente em um aplicativo da Microsoft, que pode ou não já ter sido solucionada em uma atualização de segurança.
  • Um novo método de bypass de uma mitigação imposta pela área restrita do modo de usuário. Por exemplo, isso pode incluir uma técnica capaz de fazer o bypass das restrições de links simbólicos impostas por uma área restrita ou outros novos problemas de lógica que permitem que um invasor saia da área restrita e eleve seus privilégios.
Envios de bypass qualificados podem usar métodos conhecidos de exploração em seu exploit e white paper, mas um novo método de exploração precisa ser um componente integral e obrigatório que possibilite uma execução de código remota confiável. Os envios devem distinguir claramente os aspectos inovadores do método de exploração que está sendo descrito.
  • Recomendamos que os envios tenham como alvo aplicativos no modo de usuário de 64 bits ou aplicativos executados em processadores ARM de 32 bits.

Envios de bypass qualificados devem ser capazes de explorar um aplicativo no modo de usuário que usa todas as mitigações mais recentes compatíveis com a plataforma Windows. Veja a seção sobre o ESCOPO DO BYPASS DE MITIGAÇÃO para obter mais informações sobre o que é considerado dentro e fora do escopo para envios de bypass de mitigação.

Envios de bypass qualificados devem demonstrar e descrever um método de exploração que atenda aos seguintes critérios:
  • Genérico: os métodos de exploração de RCE devem ser aplicáveis a uma ou mais classes de vulnerabilidade de corrupção de memória.
  • Confiável: deve ter baixa probabilidade de falha.
  • Razoável: deve ter requisitos e pré-requisitos razoáveis.
  • De alto impacto: deve ser aplicável a domínios de aplicativos de alto risco (navegadores, leitores de documentos etc).
  • Modo de usuário: os métodos de exploração de RCE devem ser aplicáveis a aplicativos no modo de usuário.
  • Versão mais recente: deve ser aplicável à versão mais recente de nossos produtos na data de envio da entrada.
  • Inovador: deve ser um método novo e distinto que não seja de conhecimento da Microsoft e não tenha sido descrito em trabalhos anteriores.

Todos os envios qualificados terão a chance de receber até USD 100.000. Envios com uma prova de conceito, uma exploração em funcionamento, uma descrição por escrito detalhada e/ou um white paper se qualificarão para recompensas mais altas.

O QUE CONSTITUI UM ENVIO QUALIFICADO PARA UMA RECOMPENSA POR DEFESA?

Os envios para Recompensa por Defesa ("envios de defesa") fornecidos à Microsoft precisam atender aos seguintes critérios para se qualificarem para este programa:

Envios de defesa qualificados incluirão um white paper técnico para descrever a ideia de defesa que poderia, de maneira efetiva, bloquear uma técnica de exploração que, atualmente, faz bypass das mitigações da plataforma mais recente ou então de um envio de defesa que bloqueia explorações e que não está na plataforma mais recente.

Envios de defesa qualificados poderão receber um bônus de até UDS 100.000, dependendo da qualidade e da exclusividade da ideia de defesa.

Reservamo-nos o direito de rejeitar qualquer envio que determinarmos, de acordo com nossos critérios exclusivos, que não atenda aos critérios acima.

O histórico e as descrições das mitigações da plataforma Windows podem ser encontrados no white paper em Mitigação de Vulnerabilidades de Software.

ESCOPO DO BYPASS DE MITIGAÇÃO

As tabelas a seguir fornecem uma lista das mitigações de modo de usuário que estão explicitamente no escopo, bem como a definição das técnicas que estão dentro e fora do escopo para cada mitigação. Envios que usam outras novas técnicas de exploração que não são consideradas fora do escopo e não estão listadas abaixo ainda podem se qualificar para uma recompensa. Um envio de bypass deve funcionar quando todas as mitigações compatíveis com o build de modo rápido mais recente da WIP estão habilitadas. Isso significa que o envio deve presumir que mitigações como DEP, ASLR, CIG, ACG e assim por diante estão todas habilitadas no aplicativo de destino, mesmo que atualmente elas não estejam habilitadas por padrão em todos os cenários no momento do envio.

Este escopo está sujeito a alterações a qualquer momento a critério da Microsoft.

Mitigações de integridade de fluxo de controle

As mitigações a seguir dão suporte às proteções de integridade de fluxo de controle da Microsoft.

Mitigação
Dentro do escopo
Fora do escopo
Técnicas que possibilitam executar código da memória não executável em um processo que tem a DEP habilitada (Always On)
  • Reutilização de código que já é executável

Mitigações de integridade de código


Mitigação Dentro do escopo Fora do escopo
Técnicas que possibilitam gerar ou modificar código de maneira dinâmica em um processo que habilitou a ProcessDynamicCodePolicy(ProhibitDynamicCode = 1).
  • Bypasses que dependem da habilitação da recusa de thread (AllowThreadOptOut = 1).
Técnicas que possibilitam carregar um binário sem a assinatura correta em um processo que tem restrições de assinatura de código habilitadas (por exemplo, ProcessSignaturePolicy).
  • Injeção na memória de páginas de código de imagem não assinadas

Suporte a mitigações

Mitigação
Dentro do escopo
Fora do escopo
Técnicas que possibilitam gerar um processo filho de um processo que tem a criação de processos filho restrita (por meio da política de processo filho).

Técnicas que possibilitam fazer o bypass, de maneira genérica, da ASLR em aplicativos de 64 bits que habilitam a ASLR de Alta Entropia e Forçam a Relocalização de Imagens.
  • Vulnerabilidades individuais que habilitam a divulgação de informações confidenciais do espaço de endereço
  • Inferência de endereço via GC
  • Bypasses de ASLR de 32 bits
Técnicas que podem ser usadas para sequestrar o fluxo de controle, corrompendo um registro de SEH em um processo/imagem que habilita SEHOP e SafeSEH
  • Técnicas que presumem o conhecimento de onde uma pilha está localizada
  • Técnicas que dependem de imagens não SafeSEH
Técnicas que podem ser usadas para efetuar a corrupção confiável de metadados ou de dados do usuário.

NÍVEIS DE PAGAMENTO POR BYPASS DE MITIGAÇÃO

A tabela a seguir descreve os níveis de pagamento pelos envios de bypass de mitigação qualificados.
Camada
Descrição
Mitigações aplicáveis
Prova de conceito
Qualidade do relatório
Faixa de pagamento máximo (USD)
Camada 1
Avanços novos e fundamentais em tecnologias de exploração que fazem bypass universal das mitigações atuais N/D
Obrigatório
Alto
USD 100.000




Baixo
USD 50.000
Camada 2
Bypass de mitigação no nível do design
  • Mitigações de integridade de fluxo de controle
  • Mitigações de integridade de código
Obrigatório
Alto
USD 45.000
Baixo
USD 20.000
Nível 3
Bypasses de mitigação no nível do bug ou da implementação
  • Mitigações de integridade de fluxo de controle
  • Mitigações de integridade de código
  • Suporte a mitigações
Obrigatório
Alto
USD 15.000
Baixo
USD 5.000
Os fatores adicionais considerados ao avaliar os valores dos prêmios incluem: o quanto a aplicação do bypass pode ser ampla, o nível percebido da dificuldade e da confiabilidade do uso do bypass e o impacto geral do bypass de mitigação

AVISO LEGAL

Para obter informações adicionais sobre as diretrizes legais da Microsoft, clique aqui.

Agradecemos sua participação no programa de recompensas da Microsoft para identificação de bugs.


HISTÓRICO DE REVISÃO

  • 26 de junho de 2013: lançamento do programa
  • 31 de janeiro de 2017: a mitigação experimental de Proteção de Fluxo de Retorno foi removida da lista de mitigações no escopo
  • 27 de outubro de 2017: "Bypasses que dependem de condições de corrida ou tratamento de exceção" e "Bypasses que dependem da suspensão de thread" foram adicionados à lista "Fora do escopo" para mitigações de "CFG (Proteção de Fluxo de Controle)".
  • 23 de janeiro de 2018: instâncias da instrumentação de CFG ausente antes de uma chamada indireta foram adicionadas a "Fora do escopo" para mitigações de "CFG (Proteção de Fluxo de Controle)".
  • 20 de março de 2018: "Ataques de substituição de código" foram adicionados explicitamente a "Fora do escopo" para mitigações de "Proteção de Fluxo de Controle".
  • 21 de junho de 2018: remoção da Proteção de Fluxo de Controle da lista de mitigações pertencentes ao escopo.
  • 7 de agosto de 2018: reintrodução acidental da Proteção de Fluxo de Controle ao escopo da recompensa.
  • 2 de outubro de 2018: remoção da Proteção de Fluxo de Controle da lista de mitigações pertencentes ao escopo (correção do erro de publicação acima).
  • 7 de dezembro de 2018: remoção da data de lançamento do programa da descrição.