Microsoft lance un bug bounty dédié à Teams
lun, 29/03/2021 - 17:08
Microsoft a ouvert un nouveau programme de chasse aux bugs : Microsoft Applications Bounty. Ce programme a pour but de renforcer la sécurité des utilisateurs de Teams. Le client de bureau Teams est la première application soumise à la sagacité des charcheurs dans le cadre de ce nouveau programme.
Les primes vont de 500 à 30 000 dollars. Des récompenses plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la gravité et de l'impact de la vulnérabilité et de la qualité de la soumission. Les plus fortes récompenses sont données dans la cadre de scénarios à fort impact, tels que définis par Microsoft :
| Scénario | Prix maximum |
| Exécution de code à distance (code natif dans le contexte de l'utilisateur actuel) sans interaction de l'utilisateur | 30 000 $ |
| Possibilité d'obtenir les informations d'authentification 1 pour les autres utilisateurs (n'inclut pas le phishing) | 15 000 $ |
| XSS ou autre injection de code (à distance) permettant d'exécuter des scripts arbitraires dans le contexte de teams.microsoft.com ou teams.live.com sans interaction de l'utilisateur | 10 000 $ |
| Élévation du privilège 2 qui traverse une limite d'utilisateur du système d'exploitation | 10 000 $ |
| XSS ou autre injection de code (à distance) permettant d'exécuter des scripts arbitraires dans le contexte de teams.microsoft.com ou teams.live.com avec une interaction minimale de 3 utilisateurs | 6 000 $ |
Si une vulnérabilité signalée ne se qualifie pas pour une prime dans le cadre des scénarios à fort impact, elle peut être éligible pour une récompense dans le cadre des récompenses générales. Les soumissions éligibles recevront le prix de qualification le plus élevé.
Site : microsoft.com
