Microsoft zahlt Prämien für Sicherheitslücken

Bug-Bounty-Programm für MS-Konten und Azure AD

23.07.18 | Autor / Redakteur: Thomas Joos / Peter Schmitz

Microsoft-Konten und Azure Active Directory sollen sicherer werden. Deshalb zahlt das Unternehmen in einem neuen Bug-Bounty-Programm Prämien für gefundene Sicherheitslücken. (Bild: Microsoft)

Mehr zum Thema

Varonis Systems (Deutschland) GmbH

Eset Deutschland GmbH

totemo ag

PresseBox - unn | UNITED NEWS NETWORK GmbH

Rapid7 Germany

Microsoft zahlt Prämien an denjenigen, der eine Sicherheitslücke in den Identitätsdiensten des Software-Herstellers findet. Dadurch sollen Microsoft-Konten und Azure Active Directory sicherer werden. Auch bei der Implementierung von OpenID wird eine Prämie gezahlt, wenn eine Sicherheitslücke entdeckt wird.

Phillip Misner, Leiter der Sicherheitsgruppe, hat zugesagt, dass Sicherheitsforscher zwischen 500 und 100.000 US-Dollar erhalten sollen, wenn eine Sicherheitslücke in Azure Active Directory oder dem Authentifizierungsdienst von Microsoft-Konten entdeckt wird.

Mit diesem Bug-Bounty-Programm sollen Sicherheitslücken schneller gefunden und behoben werden. Damit das Geld ausgezahlt wird, muss die Authentifizierung auf folgenden Seiten gehackt werden:

https://login.windows.net
https://login.microsoftonline.com
https://anmeldung.live.com
https://anmeldung.live.com
https://account.windowsazure.com
https://account.activedirectory.windowsazure.com
https://credential.activedirectory.windowsazure.com
https://portal.office.com
https://passwordreset.microsoftonline.com
sowie den Microsoft Authenticator für iOS und Android

Die Prämie wird also ausgezahlt, wenn private Dienste gehackt werden, oder die kommerziellen Authentifizierungsdienste von Azure Active Directory.

Kann durch die gefundene Sicherheitslücke die Anmeldung an einem Microsoft-Konto oder an Azure Active Directory kompromittiert werden, zahlt Microsoft das Geld aus. Allerdings muss die Schwachstelle für die neuste verfügbare Version reproduzierbar sein.

Lassen sich also Microsoft Identity Services erfolgreich angreifen und handelt es sich dabei um eine bisher nicht gemeldete Schwachstelle, die zur Übernahme eines Microsoft-Kontos oder eines Azure Active Directory-Kontos führt, zählt der Angriff für Microsoft als erfolgreich.

Identifiziert man eine ursprüngliche und bisher nicht gemeldete Schwachstelle in OpenID-Standards oder mit dem in zertifizierten Produkten, Diensten oder Bibliotheken implementierten Protokollen für OpenID, werden ebenfalls Prämien ausgezahlt.