Microsoft будет выплачивать вознаграждения исследователям безопасности за обнаружение критических уязвимостей в любых своих онлайн-сервисах, независимо от того, был ли код написан самой компанией или третьей стороной.

Об этом изменении политики объявил на конференции Black Hat Europe Том Галлахер, вице-президент по разработке в Центре реагирования на угрозы безопасности Microsoft.

По его словам, злоумышленники не отличают код Microsoft от компонентов третьих сторон при использовании уязвимостей, что побудило компанию расширить свою программу баг-баунти. Она включает все существующие онлайн-сервисы Microsoft, а также все новые продукты сразу после их выпуска. Исследователям заплатят и за уязвимости безопасности в зависимостях третьих сторон, включая коммерческие или компоненты с открытым исходным кодом.

«Начиная с сегодняшнего дня, если критическая уязвимость оказывает прямое и доказуемое влияние на наши онлайн-сервисы, за её обнаружение заплатят вознаграждение. Независимо от того, принадлежит ли код Microsoft, управляется ли им и сторонней компанией или является открытым исходным кодом, мы сделаем все необходимое для устранения проблемы», — сказал Галлахер.

За последние 12 месяцев Microsoft выплатила более $17 млн в качестве вознаграждения 344 исследователям безопасности, а за предыдущий год — $16,6 млн 343 исследователям.

В августе компания расширила свою программу вознаграждений за обнаружение ошибок в .NET и увеличила размер вознаграждений за некоторые уязвимости .NET и ASP.NET Core, включая Blazor и Aspire. Microsoft будет выплачивать до $40 тысяч за критические уязвимости безопасности, связанные с удалённым выполнением кода и повышением привилегий, $30 тысяч — за критические обходы функций безопасности и до $20 тысяч — за критические ошибки удалённого отказа в обслуживании. 

Сегодняшнее объявление является частью более широкой инициативы компании «Безопасное будущее», призванной уделять приоритетное внимание безопасности во всех операциях. В рамках той же инициативы Microsoft отключила все элементы управления ActiveX в версиях приложений Microsoft 365 и Office 2024 для Windows и обновила настройки безопасности Microsoft 365 по умолчанию, чтобы заблокировать доступ к файлам SharePoint, OneDrive и Office с помощью устаревших протоколов аутентификации. Кроме того, компания усилила безопасность системы аутентификации Entra ID для защиты от внешних атак с внедрением скриптов.