DESCRIÇÃO DO PROGRAMA

Por meio do programa de recompensas do WDAG (Windows Defender Application Guard), indivíduos do mundo inteiro têm a oportunidade de enviar vulnerabilidades no WDAG encontradas no anel Modo Lento mais recente do Windows 10 Insider Preview. Envios qualificados poderão receber recompensas de USD 500 a USD 30.000. As recompensas serão concedidas a critério da Microsoft e poderemos oferecer prêmios maiores de acordo com a qualidade e a complexidade da entrada.
 
As atualizações do Windows 10 Insider Preview são fornecidas aos testadores em anéis diferentes. Para este programa de recompensas, pedimos que você envie bugs no anel Modo Lento do Windows Insider Preview. Confira https://insider.windows.com/ e https://insider.windows.com/Home/GetStarted para obter mais informações.
 

O QUE CONSTITUI UM ENVIO QUALIFICADO?

Os envios de vulnerabilidades fornecidos à Microsoft precisam atender aos seguintes critérios para se qualificarem para receber um pagamento:
 
  • Identificar uma vulnerabilidade original e não relatada anteriormente em versões qualificadas do WDAG
  • A vulnerabilidade deve ser reproduzida nos builds de Modo Lento recentes da WIP para se qualificar para uma recompensa
    • Se um envio for reproduzido em um build anterior de Modo Lento da WIP, e não no anel Modo Lento atual no momento do envio, o envio não estará qualificado
  • Incluir etapas de reprodução concisas que sejam compreendidas facilmente. (Isso permite que os envios sejam processados o mais rápido possível e possibilita um pagamento mais alto para o tipo de vulnerabilidade sendo relatado.)
  • Incluir o número de build de Modo Lento da WIP em que a vulnerabilidade é reproduzida
  • Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio com base nos critérios mencionados acima
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor
  • O primeiro relatório externo recebido sobre um problema conhecido internamente receberá, no máximo, 10% do pagamento máximo (por exemplo, USD 3.000 para um RCE no WDAG, em vez de USD 30.000)
  • Um relatório de alta qualidade requer uma prova de conceito, um texto detalhado e/ou um white paper
  • Se quiser enviar uma vulnerabilidade para contêineres do Hyper-V, você se qualificará para o Programa de Recompensas do Microsoft Hyper-V
 

Contêiner do WDAG

O WDAG é executado em um contêiner do Hyper-V isolado do sistema operacional do host.
 
Este programa de recompensas se preocupa com bugs no contêiner do WDAG e em componentes que afetam diretamente a segurança do contêiner, incluindo escapes do contêiner do WDAG para o sistema operacional do host. Esta recompensa é, conforme observado acima, separada do Programa de Recompensas do Microsoft Hyper-V.
 
 

Execução remota de código

 
Um envio qualificado inclui uma vulnerabilidade de RCE no WDAG que permita que um participante no contêiner do WDAG comprometa o hipervisor, escape do host ou de um contêiner do WDAG para outro.
Qualidade do relatório
Intervalo de pagamento potencial (USD)
Vulnerabilidade resultante de um escape do contêiner do WDAG para o host
Obrigatório
Sim
Alto
USD 30.000
Não
Alto
USD 20.000
Não
Baixo USD 10.000
Vulnerabilidade dentro do contêiner do Application Guard, sem escape do contêiner
Obrigatório
Não
Alto
USD 10.000
Não
Baixo
USD 2.000

INFORMAÇÕES RELEVANTES

O QUE CONSTITUI UM ENVIO NÃO QUALIFICADO?

O objetivo do programa de recompensas para a localização de bugs é descobrir vulnerabilidades significativas com impacto direto e demonstrável sobre a segurança e os dados de nossos usuários. Ainda que incentivemos todos os envios que descrevam vulnerabilidades de segurança em nossos navegadores, os exemplos de vulnerabilidade a seguir não receberão uma recompensa neste programa:
  • Vulnerabilidades em qualquer versão anterior ao build de Modo Lento atual do Windows Insider
  • Vulnerabilidades no conteúdo gerado pelo usuário
  • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
  • Vulnerabilidades encontradas desabilitando os recursos de segurança existentes
  • Qualquer outra categoria de vulnerabilidade que a Microsoft considerar não qualificada, a seu critério exclusivo

Reservamo-nos o direito, a nosso critério exclusivo, de rejeitar qualquer envio que se enquadre nessas categorias de vulnerabilidades, mesmo se estiver qualificado para uma recompensa de outra forma

AVISO LEGAL

Para obter informações adicionais sobre as diretrizes legais da Microsoft, acesse este link.

Agradecemos sua participação no Programa de Recompensas para a Localização de Bugs da Microsoft.