.NET Bug Bounty betaler nå 40 000 dollar for kritiske sårbarheter

Microsoft har oppdatert sitt sikkerhetsprogram for å inkludere høyere utbetalinger for sårbarheter knyttet til .NET. Bug bounty-programmet for .NET gir nå forskere opptil 40 000 dollar for kritiske feil som ekstern kodekjøring eller rettighetseskalering. Oppdateringen viser Microsofts økende fokus på sikkerhetsforbedringer drevet av fellesskapet.

Microsoft utvider programmets omfang

Belønningsprogrammet dekker nå alle støttede versjoner av .NET og ASP.NET Core, inkludert nyere rammeverk som Aspire og Blazor. Det inkluderer også F#, offisielle maler og GitHub Actions-arbeidsflyter som brukes i .NET-økosystemet. Det bredere omfanget gir flere muligheter for etiske hackere til å delta.

Forskere kan nå få følgende belønninger:

• 40 000 dollar for ekstern kodekjøring eller rettighetseskalering
• 30 000 dollar for å omgå sentrale sikkerhetsfunksjoner
• 20 000 dollar for eksterne tjenestenektangrep (DoS)

Innsendinger må inneholde et komplett proof of concept. Microsoft kan redusere utbetalingen dersom rapporten mangler tekniske detaljer.

Enklere regler og større belønninger

Det nye programmet innfører en tydeligere belønningsstruktur. Microsoft ønsker å forenkle prosessen for forskere og oppmuntre til høy kvalitet i rapportene. I motsetning til tidligere oppsett legger denne versjonen vekt på komplette angrepskjeder og ansvarlig offentliggjøring.

Microsoft understreker også at problemer funnet i eldre systemer fortsatt er kvalifiserte, så lenge systemene fortsatt støttes offisielt.

Endringene følger etter nylige økninger i belønninger for andre Microsoft-programmer, inkludert sårbarheter i Power Platform og Copilot.

Hvorfor dette er viktig

.NET-økosystemet driver mange bedrifts- og skybaserte applikasjoner. Feil i disse rammeverkene kan føre til alvorlige datainnbrudd eller systemkompromittering. Ved å tilby høyere belønninger håper Microsoft å tiltrekke seg dyktige forskere og forhindre utnyttelse fra ondsinnede aktører.

Konklusjon

Microsofts forbedrede bug bounty-program for .NET gir høyere utbetalinger, bredere testdekning og enklere retningslinjer. Etiske hackere har nå større insentiv enn noen gang til å sikre Microsofts utviklerverktøy – og tjene opptil 40 000 dollar per rapport.