.NET Bug Bounty zahlt jetzt 40.000 US-Dollar für kritische Schwachstellen

Microsoft hat sein Sicherheits-Belohnungsprogramm aktualisiert und bietet nun höhere Prämien für Schwachstellen im Zusammenhang mit .NET. Das Bug-Bounty-Programm für .NET zahlt jetzt bis zu 40.000 US-Dollar für kritische Fehler wie Remote Code Execution oder Privilegieneskalation. Die überarbeitete Version unterstreicht Microsofts wachsendes Engagement für Community-getriebene Sicherheitsverbesserungen.

Microsoft erweitert den Umfang des Programms

Das Belohnungsprogramm umfasst jetzt alle unterstützten Versionen von .NET und ASP.NET Core, einschließlich neuer Frameworks wie Aspire und Blazor. Es beinhaltet auch F#, offizielle Vorlagen und GitHub Actions-Workflows innerhalb des .NET-Ökosystems. Dieser erweiterte Umfang bietet mehr Möglichkeiten für ethische Hacker.

Forscher können folgende Prämien erhalten:

• 40.000 US-Dollar für Remote Code Execution oder Privilegieneskalation
• 30.000 US-Dollar für das Umgehen wichtiger Sicherheitsfunktionen
• 20.000 US-Dollar für Remote Denial-of-Service-Schwachstellen (DoS)

Einreichungen müssen einen vollständigen Proof of Concept enthalten. Microsoft kann die Prämie kürzen, wenn technische Details fehlen.

Klare Regeln, höhere Belohnungen

Das neue Programm führt eine klarere Belohnungsstruktur ein. Microsoft möchte den Prozess für Forscher vereinfachen und qualitativ hochwertige Beiträge fördern. Im Gegensatz zu früheren Programmen liegt der Fokus jetzt auf vollständigen Exploit-Ketten und verantwortungsvoller Offenlegung.

Microsoft betont zudem, dass auch Schwachstellen in Legacy-Systemen berücksichtigt werden – solange diese offiziell unterstützt werden.

Die Änderungen folgen auf Prämienerhöhungen in anderen Microsoft-Programmen, unter anderem für KI-Schwachstellen in Power Platform und Copilot.

Warum das wichtig ist

Das .NET-Ökosystem bildet die Grundlage vieler Unternehmens- und Cloud-Anwendungen. Fehler in diesen Frameworks können zu schwerwiegenden Datenschutzverletzungen oder Systemkompromittierungen führen. Durch höhere Belohnungen will Microsoft talentierte Forscher anziehen und Angriffe durch Cyberkriminelle verhindern.

Fazit

Microsofts überarbeitetes Bug-Bounty-Programm für .NET bietet höhere Prämien, einen erweiterten Testbereich und klare Richtlinien. Ethische Hacker haben jetzt mehr Anreize denn je, Microsofts Entwickler-Tools abzusichern – und bis zu 40.000 US-Dollar pro Bericht zu verdienen.