Terug naar het overzicht

26 maart 2021

Microsoft biedt beloningen voor beveiligingsfouten in Microsoft Teams

Microsoft start een nieuw Applications Bounty Program, en de eerste applicatie waarvan ze willen dat onderzoekers bugs vinden, is Microsoft Teams, het populaire zakelijke communicatieplatform.

Over Microsoft Teams

Microsoft Teams biedt chat in de werkruimte, VoIP en videoconferenties, het delen van bestanden via chats en vergaderingen.

Net als andere videoconferenties en communicatieoplossingen kreeg Microsoft Teams een aanzienlijke boost met de komst van de Covid-19-uitbraak, aangewakkerd door de behoefte van bedrijven om in contact te blijven met hun werknemers die vanuit huis werken. In maart 2020 had de dienst 44 miljoen dagelijkse gebruikers. Slechts een maand later bereikte het 75 miljoen.

Waar moeten insectenjagers op letten?

Voorlopig valt alleen de Microsoft Teams-desktopclient voor Windows, macOS en Linux binnen het bereik.

Microsoft biedt tussen $ 30.000 en $ 6.000 aan voor informatie over kwetsbaarheden die tot de volgende scenario’s kunnen leiden:

  • Externe code-uitvoering (native code in de context van de huidige gebruiker) zonder gebruikersinteractie
  • Mogelijkheid om authenticatiegegevens te verkrijgen (inclusief authenticatietokens) voor andere gebruikers (maar niet via phishing!)
  • XSS of andere (externe) code-injectie resulterend in de mogelijkheid om willekeurige scripts uit te voeren in de context van teams.microsoft.com of teams.live.com zonder gebruikersinteractie
  • Verhoging van bevoegdheden die de gebruikersgrens van een besturingssysteem overschrijden (inclusief verhoging van bevoegdheden in de macOS-updater)
  • XSS of andere (externe) code-injectie resulterend in de mogelijkheid om willekeurige scripts uit te voeren in de context van teams.microsoft.com of teams.live.com met minimale gebruikersinteractie (bijvoorbeeld een voorbeeld van een document bekijken of een bericht uitvouwen)

Afgezien daarvan verwelkomt het bedrijf ook rapporten over kritieke en belangrijke kwetsbaarheden die het uitvoeren van externe code, misbruik van bevoegdheden, het vrijgeven van informatie, spoofing en sabotage mogelijk maken. Afhankelijk van de ernst en de kwaliteit van het rapport kunnen de beloningen oplopen tot $ 15.000 of slechts $ 500.

“Inzendingen die kwetsbaarheden identificeren die zich alleen in online services reproduceren, zullen worden beoordeeld onder het Online Services Bounty Program. Raadpleeg het Office Insider Bounty-programma voor in aanmerking komende premiedoelen en beloningen voor onderzoek in andere Office-producten. Alle inzendingen worden beoordeeld om in aanmerking te komen voor een premie, dus maak je geen zorgen als je niet zeker weet waar je inzending past. We sturen uw rapport naar het juiste programma, ”voegde het bedrijf eraan toe.

Bron: helpnetsecurity

Meer weten?

Neem contact op

Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.