Microsoft ha anunciado que Exchange, SharePoint y Skype for Business en las instalaciones ahora forman parte del Programa de recompensas de aplicaciones y servidores locales a partir de hoy.
Con la expansión de este programa de recompensas por errores, los investigadores de seguridad que encuentran y reportan vulnerabilidades que afectan a los servidores locales son elegibles para premios que van desde $500 hasta $26,000.
«El Programa de recompensas de servidores locales y aplicaciones de Microsoft invita a investigadores de todo el mundo a identificar vulnerabilidades en aplicaciones específicas de Microsoft y servidores locales y compartirlas con nuestro equipo», dice la compañía .
«Son posibles premios más altos, a discreción exclusiva de Microsoft, en función de la gravedad y el impacto de la vulnerabilidad y la calidad de la presentación».
El equipo del Centro de respuesta de seguridad de Microsoft (MSRC) también dijo que los investigadores de seguridad podrían recibir recompensas más altas en función de los multiplicadores de gravedad derivados del impacto de las vulnerabilidades informadas.
«La recompensa también incluye escenarios de alto impacto que ofrecen los premios más altos a la investigación en áreas con el mayor impacto potencial en la seguridad del cliente», agregó el equipo de MSRC .
«El objetivo del programa de recompensas es descubrir vulnerabilidades técnicas significativas que tienen un impacto directo y demostrable en la seguridad de nuestros clientes que utilizan la última versión de la aplicación», explicó Microsoft.
| Impacto de seguridad | Multiplicador de gravedad |
| SOLO INTERCAMBIO: la falsificación de solicitudes del lado del servidor permite a un atacante realizar solicitudes HTTP del lado del servidor a direcciones URL arbitrarias. | 20% |
| SOLO SHAREPOINT: la falsificación de solicitud del lado del servidor autenticada permite a un atacante realizar solicitudes HTTP autenticadas del lado del servidor a una URL arbitraria | 20% |
| Deserialización insegura de datos controlables por el usuario, lo que conduce a la ejecución remota de código en el servidor | 30% |
| Escritura arbitraria de archivos de datos controlados por el usuario en una ubicación controlada por el usuario en el servidor. | 20% |
| La omisión de autenticación permite la explotación no autenticada, lo que da como resultado la explotación masiva de vulnerabilidades | 20% |
| Vulnerabilidades dentro del Servicio de mitigación de emergencia de Exchange (EEMS) | 15% |
Hay más información disponible sobre los montos de los premios, las aplicaciones incluidas y los servidores en las instalaciones en la página del Programa de recompensas de aplicaciones y servidores en las instalaciones .
