.NET Bug Bounty betaler nu 40.000 dollars for kritiske sårbarheder

Microsoft har opdateret sit sikkerhedsprogram og tilbyder nu højere belønninger for sårbarheder relateret til .NET. Bug bounty-programmet for .NET giver nu forskere op til 40.000 dollars for kritiske fejl som fjernkørsel af kode eller rettighedseskalering. Den opdaterede ordning afspejler Microsofts stigende fokus på fællesskabsdrevet sikkerhed.

Microsoft udvider programmets omfang

Belønningsprogrammet dækker nu alle understøttede versioner af .NET og ASP.NET Core, herunder nyere rammer som Aspire og Blazor. Det inkluderer også F#, officielle skabeloner og GitHub Actions-workflows anvendt i .NET-økosystemet. Det udvidede omfang giver flere muligheder for etiske hackere.

Forskere kan nu modtage følgende belønninger:

• 40.000 dollars for fjernkørsel af kode eller rettighedseskalering
• 30.000 dollars for omgåelse af centrale sikkerhedsfunktioner
• 20.000 dollars for fjernudført denial-of-service-angreb (DoS)

Indsendelser skal indeholde et fuldt fungerende proof of concept. Microsoft kan nedsætte belønningen, hvis rapporten mangler tekniske detaljer.

Enklere regler og større incitamenter

Det nye program introducerer en mere overskuelig struktur for belønninger. Microsoft ønsker at gøre det nemmere for forskere at bidrage og samtidig hæve kvaliteten. I modsætning til tidligere versioner fokuserer dette program på komplette exploit-kæder og ansvarlig offentliggørelse.

Microsoft tilføjer, at sårbarheder i ældre systemer stadig er gyldige, så længe systemerne stadig understøttes officielt.

Ændringerne følger nylige belønningsstigninger i andre Microsoft-programmer, herunder bounties for AI-sårbarheder i Power Platform og Copilot.

Derfor er det vigtigt

.NET-økosystemet driver mange forretnings- og cloudapplikationer. Fejl i disse rammer kan føre til alvorlige databrud eller systemkompromittering. Med højere belønninger håber Microsoft at tiltrække dygtige forskere og afværge ondsindede angreb.

Konklusion

Microsofts forbedrede bug bounty-program for .NET tilbyder større belønninger, bredere testdækning og enklere regler. Etiske hackere har nu større incitament end nogensinde til at sikre Microsofts udviklingsværktøjer – og tjene op til 40.000 dollars pr. rapport.