Microsoft pagó más de 374.000 dólares por las vulnerabilidades de Azure Sphere

Microsoft compartió este martes los resultados de su Desafío de Investigación de Seguridad de Azure Sphere, de tres meses de duración, y la compañía dice que ha pagado más de 374.000 dólares a los participantes.

El Desafío de Investigación de Seguridad de Azure Sphere, anunciado en mayo, invitó a los investigadores de seguridad a encontrar vulnerabilidades en Azure Sphere, la solución de seguridad de IO de Microsoft, que el gigante de la tecnología diseñó para proporcionar seguridad de extremo a extremo a través de hardware, sistema operativo y la nube.

Microsoft dijo que recibió un total de 40 informes de vulnerabilidad, 30 de los cuales condujeron a mejoras y 16 elegibles para una recompensa por errores. La recompensa más alta pagada fue de 48.000 dólares y la más baja de 3.300 dólares.

Microsoft se asoció con varios proveedores de soluciones de seguridad cibernética para el desafío de la recompensa por los errores de Azure Sphere, incluyendo Avira, Baidu, Bitdefender, Bugcrowd, Cisco, ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks y Zscaler. Sin embargo, dice que Cisco y McAfee encontraron algunas de las vulnerabilidades más interesantes.

McAfee publicó un extenso informe detallando sus hallazgos y la compañía dijo que ganó un total de 160.000 dólares, que planea donar a la caridad. Los investigadores de la compañía lograron acceder a root encadenando seis bichos, tres de los cuales fueron calificados como críticos. Los hallazgos de McAfee también incluyeron una vulnerabilidad previamente desconocida en el kernel de Linux.

Cisco Talos también ha descrito las vulnerabilidades encontradas por sus investigadores. Han identificado más de una docena de problemas, incluyendo la ejecución arbitraria de códigos, la denegación de servicio (DoS), la divulgación de información y los fallos en la escalada de privilegios. Talos también reveló en agosto algunas de las vulnerabilidades que encontró en Azure Sphere.

«Esta fue nuestra primera expansión del Laboratorio de Seguridad Azure, un experimento para proporcionar a los investigadores recursos adicionales que ayuden a impulsar nuevas investigaciones de alto impacto y desarrollar una estrecha colaboración entre la comunidad de investigación de seguridad y los equipos de ingeniería de Microsoft a través de horas de oficina semanales y oportunidades de colaboración directa», dijo Sylvie Liu, gerente senior del programa de seguridad de Microsoft. «Creemos firmemente que este desafío y las próximas expansiones del Laboratorio de Seguridad Azure ayudarán a continuar protegiendo nuestra nube y Azure Sphere, y esperamos ampliar los recursos disponibles para los investigadores de seguridad para apoyar la investigación de alto impacto».

Microsoft señaló que los cazadores de recompensas de insectos pueden seguir informando de las vulnerabilidades encontradas en Azure Sphere a través del Azure Bounty Program, que ofrece recompensas de hasta 40.000 dólares.

Fuente: securityweek

Comments are closed.