O Microsoft Security Response Center investiga todos os relatórios de vulnerabilidades de segurança que afetam os produtos e os serviços da Microsoft. Se você é um pesquisador de segurança e acreditar que encontrou uma vulnerabilidade de segurança da Microsoft, desejamos trabalhar com você para investigá-la.

Observe que o Microsoft Security Response Center não tem suporte técnico para produtos da Microsoft. Se precisar de assistência com algo que não seja relatar uma possível vulnerabilidade de segurança, confira a instrução abaixo que melhor corresponda à sua situação e expanda a instrução para ver as próximas etapas.
|

Observação: as diretrizes abaixo pressupõem que você está fazendo pesquisas por conta própria. Caso tenha descoberto uma vulnerabilidade ao trabalhar para outra entidade (durante a participação em um teste de intrusão, por exemplo), clique aqui.

Se você acreditar que encontrou uma vulnerabilidade de segurança que atende à definição de vulnerabilidade de segurança da Microsoft, envie o relatório para o MSRC em https://msrc.microsoft.com/create-report. Inclua as informações solicitadas que estão listadas abaixo (o máximo que puder fornecer) para nos ajudar a entender melhor a natureza e o escopo do possível problema. Caso a vulnerabilidade que está sendo relatada seja proveniente de um teste de penetração, resolva o problema com a equipe de Serviços de Atendimento ao Cliente da Microsoft, que pode ajudar a interpretar o relatório e sugerir correções. Caso o relatório contenha uma nova vulnerabilidade de segurança, a equipe de Serviços de Atendimento ao Cliente poderá ajudar a conectar você ao MSRC ou será possível relatar o problema diretamente.
  • Tipo de problema (estouro de buffer, injeção de SQL, scripts entre sites, etc.)
  • Produto e versão com o bug ou a URL se for um serviço online
  • Service packs, atualizações de segurança ou outras atualizações do produto que você instalou
  • Qualquer configuração especial necessária para reproduzir o problema
  • Instruções passo a passo para reproduzir o problema em uma nova instalação
  • Prova de conceito ou código de exploração
  • Impacto do problema, incluindo como um invasor poderia explorá-lo
Essas informações nos ajudarão a fazer a triagem do relatório mais rapidamente. Se você estiver enviando o relatório para receber uma recompensa pelo bug, relatórios mais completos poderão levar a um prêmio de recompensa mais alto. Visite nossa página do Programa de Recompensas por Bugs da Microsoft para obter mais detalhes e os termos de nossos programas de recompensas ativos.
 
Você deverá receber uma resposta de nossa equipe no prazo de 1 dia útil. Se não receber um retorno, faça um acompanhamento para confirmar que recebemos a mensagem original.
 
O Microsoft Security Response Center segue estes processos para todos os relatórios de vulnerabilidades:
  • Fazer uma triagem do relatório e determinar se precisamos abrir um caso para uma investigação mais aprofundada.
  • Investigar e tomar medidas de acordo com nossos critérios de manutenção publicados.
  • Reconhecer publicamente sua contribuição para proteger o ecossistema quando lançarmos uma correção.
A Microsoft segue o padrão CVD (Divulgação de Vulnerabilidades Coordenada) e, para proteger o ecossistema, solicitamos que esses relatórios façam o mesmo.

Obrigado por nos enviar um relatório de vulnerabilidade. Ao enviar um relatório de vulnerabilidade para nossos gerentes de ocorrências, nós geralmente respondemos no prazo de um dia útil com uma confirmação de recebimento. Nossas equipes trabalham em horário comercial, de segunda a sexta-feira.  Caso não receba uma resposta no prazo de dois dias úteis, verifique se a resposta está em sua pasta de lixo eletrônico. 

 

O que acontecerá em seguida? 

  • Triagem: nossa equipe determina se o relatório atende à definição de uma  vulnerabilidade de segurança e o atribui ao grupo de engenharia de produtos. Caso tenha optado por receber comunicações automáticas, você receberá uma mensagem de nossa equipe de triagem quando sua ocorrência for  encerrada como Não passível de manutenção ou  É necessário obter uma avaliação adicional. 
  • Atribuição de ocorrência e avaliação: caso o relatório seja considerado como uma vulnerabilidade de segurança, um número de ocorrência será atribuído a ele.  Além disso, um gerente de ocorrências supervisionará a avaliação e a criação de um plano para lidar com a vulnerabilidade.  
  • Avaliação: caso a reprodução de seu problema seja realizada, avaliaremos a gravidade e o impacto dele e enviaremos essas informações aos nossos engenheiros de produtos para ações adicionais. É possível conferir no portal a mudança de status de sua ocorrência para "avaliação". Caso tenha optado por receber comunicações automáticas, você receberá um email confirmando a mudança. Esse processo pode levar algum tempo, dependendo da complexidade do problema e da integridade do relatório. Em geral, você deverá receber um email quando sua ocorrência migrar para a fase de desenvolvimento, o que normalmente ocorre em duas semanas. Caso não receba uma mensagem nesse  prazo, isso provavelmente significa que nossa resposta está em sua pasta de lixo eletrônico ou a avaliação está demorando devido à complexidade do problema.  
  • Desenvolver: Caso seja possível reproduzir o problema, enviaremos sua ocorrência ao grupo de engenharia apropriado para ações adicionais. Algumas ocorrências não são apropriadas para manutenção imediata e poderão ser consideradas para tratamento em uma versão futura. 
  • Liberação: as ocorrências no estado de liberação estão em preparação para o lançamento. Às vezes, isso significa que elas estão aguardando uma publicação oficial como parte de nosso lançamento de Patch Tuesday ou outra atualização do serviço.nbsp;Depois que a ocorrência tiver sido corrigida e estiver em um estado Resolvido, você poderá discutir suas descobertas publicamente. Parabéns! Daremos a você o devido crédito por seu trabalho (a menos que seja especificado de outra maneira) em nossa Página de Reconhecimento de Pesquisadores.

Se a conta do Outlook.com foi comprometida, você pode tomar medidas para recuperar sua conta e impedir que ela seja invadida novamente.

Visite o site de Suporte do Windows para saber como lidar com senhas esquecidas e outros problemas de conexão.

Se o computador estiver apresentando sintomas da presença de spyware, vírus ou outros softwares indesejados, você deverá primeiro deixar o software antivírus verificar seu computador e tentar corrigir o problema.

Você também deverá garantir que o computador tenha todas as atualizações de segurança mais recentes do Microsoft Update e que você esteja recebendo atualizações de segurança automaticamente.

Se continuar tendo problemas, você poderá encontrar opções de suporte adicionais visitando o Centro de Soluções de Segurança e Vírus.

Caso tenha problemas com as atualizações de segurança da Microsoft, será possível visitar o site de Suporte da Microsoft a fim de encontrar correções para problemas do Windows Update ou entrar em contato com o atendimento ao cliente da Microsoft.
 
 
Se precisar de informações técnicas sobre atualizações de segurança, veja o Guia de Atualização de Segurança, em que você pode pesquisar informações sobre uma atualização ou filtro específico por data de lançamento e/ou por intervalo de produtos.
 

Para encontrar as informações de suporte apropriadas para sua localização, visite Serviços de Suporte ao Produto da Microsoft.

Confira a home page dos Fóruns do TechNet para procurar perguntas e respostas ou fazer sua própria pergunta.

Criminosos cibernéticos muitas vezes usam mensagens de email de phishing para tentar roubar informações pessoais. Saiba como reconhecer a aparência de uma mensagem de email de phishing e como evitar scams que usam o nome da Microsoft de forma fraudulenta.

Para saber mais sobre os scams mais recentes, confira as postagens no blog Security Tips and Talk.

Se você acha que foi vítima de scam, descubra como é possível relatá-lo e se proteger no futuro.

Envie um email para piracy@microsoft.com ou visite o site de Proteção Contra Pirataria de Software da Microsoft para obter mais informações.

Envie seu vírus, worm ou cavalo de troia para avsubmit@submit.microsoft.com. Envie seus spywares ou outros malwares para windefend@submit.microsoft.com.

Visite a página de Suporte da Microsoft para obter mais informações.
 

Please submit your thoughts at Contact Us: Questions About Microsoft Products.