该计划迄今为止支付的赏金总额超过150万美金,腾讯科恩实验室Peter Hlavaty及绿盟科技Zhang Yunhai进入前5,分别拿到6万美金及1万美金的奖励,恭喜他们!
赏金猎人张榜了
微软的绕过奖励计划MBB又公告了最新一期榜单Bounty Hunters: The Honor Roll
以下研究人员向 microsoft 提交了一个符合资格的漏洞或新的缓解绕过技术, 作为 microsoft 安全响应中心 (msrc) 赏金程序的一部分。我们非常感谢他们的参与, 并与我们合作, 帮助客户保持安全。
Total bounties paid to date: Over $1,500,000.00
尤其是绿盟科技,据称这国内唯一一家获得5次获得该奖项的了。据绿盟科技zhangyunhai介绍,这次绕过是
利用系统自身的特性,实现了任意代码劫持,从而绕过了所有的缓解措施。
微软绕过奖励计划MBB是什么
官方称为Microsoft 赏金计划,Microsoft 将针对某些类型的漏洞和利用技术的报告提供赏金。
Microsoft 发起了许多活动以提高安全性和帮助保护客户,包括 安全开发生命周期 (SDL) 过程和 协调漏洞披露 (CVD)。 我们创建了行业协作计划,例如 微软主动保护计划 (MAPP) 和 微软漏洞研究 (MSVR),并设立了 BlueHat 奖以鼓励对防御技术的研究。自 2013 年 6 月,我们还对报告特定漏洞类型的人员提供了赏金。这些赏金计划帮助 Microsoft 利用安全研究人员的集体智慧和能力来帮助保护客户。正如以下列表所示,多个有时间限制的计划仅适用于预览版本,因此可在完成最终版本前解决漏洞。
请查看下面的活动计划,并通过每个链接查看计划详情。如果你发现了符合我们赏金计划的漏洞,请通过 secure@microsoft.com 联系我们并提供详细信息。
Microsoft 安全响应中心
有效的赏金计划
| 计划名称 | 开始日期 | 结束日期 | 符合条件的项 | 赏金范围 |
| Microsoft .NET Core 和 ASP.NET Core Bug 赏金计划条款 | 2016 年 9 月 1 日 | 正在进行中 | 关于 .NET Core 和 ASP.NET Core RTM 以及未来内部版本的漏洞报告(请访问链接查看计划详情) | 最高 15,000 美元 |
| Windows Insider Preview 中的 Microsoft Edge RCE Bug 赏金 | 2016 年 8 月 4 日 | 2017 年 5 月 15 日 | Windows Insider Preview 中 Microsoft Edge 的关键 RCE。具有时效性。 | 最高 15,000 美元 |
| Online Services Bug 赏金 (O365) | 2014 年 9 月 23 日 | 正在进行中 | 关于适用的 O365 服务的漏洞报告(请访问链接查看计划详情)。 | 最高 15,000 美元 |
| Online Services Bug 赏金 (Azure) | 2015 年 4 月 22 日 | 正在进行中 | 关于合格的 Azure 服务的漏洞报告(请访问链接查看计划详情)。 | 最高 15,000 美元 |
| 缓解绕过赏金 | 2013 年 6 月 26 日 | 正在进行中 | 针对最新版本的 Windows 操作系统内置保护的新型利用技术。 | 最高 100,000 美元 |
| 防御赏金 | 2013 年 6 月 26 日 | 正在进行中 | 合格的缓解绕过提交随附的防御方法 | 最高 100,000 美元(适用的缓解绕过赏金除外)。 |