Microsoft 增加了通过 Microsoft 365 和 Dynamics 365 / Power Platform 漏洞赏金计划报告的高影响安全漏洞的最高奖励。

随着这两个计划的扩展，报告 Office 365 和 Microsoft 帐户服务漏洞的安全研究人员可以获得高达 30% 的符合条件的方案。

“通过这些新的基于场景的赏金奖励，我们鼓励研究人员将他们的研究重点放在对客户隐私和安全具有最大潜在影响的漏洞上，”微软安全响应中心 (MSRC) 的一份声明显示。

“对于符合条件的方案提交，奖励最多增加 30%（总计 26,000 美元）。”

微软补充说，被认为影响不高的缺陷可能仍然有资格获得一般奖励计划的赏金。

他们还可以根据报告的漏洞的严重性和提交的质量获得更高的奖励。

该公司表示： “如果报告的漏洞不符合高影响场景下的赏金资格，它可能有资格获得一般奖下的赏金。 ”

“根据漏洞的严重性和影响以及提交的质量，微软可以自行决定更高的奖励。”

设想 最高奖
通过不受信任的输入执行远程代码（CWE-94“代码生成控制不当（'代码注入'）”） 30.00%
通过不受信任的输入执行远程代码（CWE-502“不受信任数据的反序列化”） 30.00%
未经授权的跨租户和跨身份敏感数据1 泄漏（CWE-200“向未经授权的参与者暴露敏感信息”） 20.00%
未经授权的跨身份敏感数据泄露（CWE-488“数据元素暴露给错误的会话”） 20.00%
“混淆代理”漏洞可用于以绕过身份验证的方式访问资源的实际攻击（CWE-918“服务器端请求伪造（SSRF）”） 15.00%
一周前，微软宣布 最终将本地 Exchange、SharePoint和 Skype for Business 添加到其漏洞赏金计划中。

安全研究人员现在可以找到并报告影响本地 Exchange 和 SharePoint 服务器的漏洞，从而获得 500 到 26,000 美元的奖金。

MSRC 团队表示，赏金猎人研究人员可以根据漏洞影响产生的严重性乘数（15% 到 30% 之间）获得更高的奖励。
M365 赏金计划页面上提供了有关奖励金额、高影响方案和更新的范围内域列表的更多详细信息 。