Da quest’oggi chi individuerà bug precedentemente sconosciuti in Windows e ne notificherà l’esistenza a Microsoft in modo responsabile (dando il tempo materiale ai tecnici dell’azienda di gestire il problema e risolverlo con il rilascio di una patch correttiva) verrà premiato con un riconoscimento in denaro fino a 15.000 dollari.
Fino ad oggi Microsoft versava dei premi a fronte del rilevamento di nuove vulnerabilità in Internet Explorer, Edge, Hyper-V, Windows Defender App Guard e negli strumenti di difesa utilizzati in Windows per difendere il sistema operativo dall’esecuzione di codice dannoso (si pensi a DEP, ASLR e così via).
Adesso Microsoft estende il programma per la “caccia al bug” relativamente a qualunque funzionalità di Windows.
Un ricercatore autonomo in grado di individuare una falla di Windows che permetta l’esecuzione di codice da remoto sarà gratificato, dopo le opportune verifiche, con una somma pari a 15.000 dollari.
La segnalazione di una nuova lacuna di sicurezza sfruttabile per garantire l’acquisizione di privilegi più elevati dà diritto a ricevere un premio da 10.000 dollari. Altri bug come quelli che possono portare all’esposizione di informazioni personali, favorire attacchi DoS e la falsificazione dei dati possono consentire l’ottenimento di riconoscimenti fino a 5.000 dollari.
Nel caso di Hyper-V, ad esempio, Microsoft prevede riconosce premi ancora più succulenti: la scoperta di un exploit capace di offrire il pieno possesso della macchina virtuale da parte di un utente non autorizzato può essere premiato con una somma pari a 250.000 dollari.
La decisione di estendere il programma bug bounty anche a Windows è certamente figlia della volontà di reagire con maggiore tempestività alle nuove minacce e scongiurare la diffusione, sul “mercato nero”, di dettagli tecnici circa vulnerabilità non ancora note pubblicamente, del tutto irrisolte.