Итоги Azure Sphere Security Research Challenge: Microsoft выплатила 374 300 долларов исследователям безопасности со всего мира

Автор — Сильви Лью, специаоист по безопасности, Microsoft Security Response Center

Программа Azure Sphere Security Research Challenge собрала 70 исследователей из 21 страны, чтобы помочь пользователям Azure Sphere и расширить партнерские отношения Microsoft с глобальным сообществом исследователей безопасности IoT. За три месяца специалисты обнаружили 20 критических и важных уязвимостей, а Microsoft выплатила 374 300 долларов США за 16 отчетов, отвечающих требованиям для получения вознаграждения.

Многие из найденных уязвимостей были новыми и серьезными и привели к значительным улучшениям безопасности Azure Sphere в обновлениях 20.07, 20.08 и 20.09. Устройства Azure Sphere, подключенные к Интернету, автоматически получили эти обновления, чтобы защитить пользователей Azure Sphere. О некоторых, наиболее серьезных уязвимостях в Azure Sphere сообщили исследователи безопасности из McAfee ATR и Cisco Talos. В частности, полная цепочка атак, разработанная McAfee ATR, выявила слабое место в облаке и несколько уязвимостей на устройстве, включая ранее неизвестную уязвимость ядра Linux.

Чтобы сфокусировать исследования на самых важных областях, мы представили два высокоприоритетных сценария исследований, нацеленных на ядро ОС Azure Sphere, с вознаграждением в размере 100 000 долларов США, и шесть общих сценариев, ориентированных на различные уровни ОС Azure Sphere с дополнительными вознаграждениями до 20% сверх вознаграждений Azure Bounty Program. Участники сообщили об успешном выполнении трех общих сценариев:

  • Любой способ выполнения неподписанного кода, не относящийся к чистому возвратно-ориентированному программированию (ROP), в Linux.
  • Любой способ повышения привилегий, выходящих за рамки возможностей, описанных в манифесте приложения (например, смена ID пользователя, добавление доступа к двоичному файлу).
  • Возможность модифицировать ПО и параметры конфигурации (кроме полного сброса устройства) на устройстве в заводском состоянии DeviceComplete, представляясь клиентом, от имени которого не произведен вход и для которого нет сохраненных возможностей.

Microsoft также работает над присвоением CVE уязвимостям, обнаруженным в Azure Sphere, соответствующая документация будет выпущена вместе со вторничными обновлениями.

Мы рады видеть отличные результаты проведенных исследований и учиться на опыте участников программы. Это было наше первое расширение лаборатории безопасности Azure Security Lab, эксперимент, в котором мы дали участникам дополнительные ресурсы, чтобы запустить новые высокоэффективные исследования и наладить тесное еженедельное сотрудничество между сообществом специалистов по безопасности и инженерами Microsoft в рабочее время и предоставить возможности для прямого взаимодействия. Мы твердо верим, что эти усилия и предстоящие расширения лаборатории безопасности Azure помогут усилить защиту нашего облака и Azure Sphere, и мы с нетерпением ждем расширения ресурсов, доступных для поддержки важных исследований. Условия будущих исследований будут опубликованы на странице программы Azure Security Lab. Следите за обновлениями!

Мы продолжаем приглашать исследователей для поиска уязвимостей в Azure Sphere в рамках нашей программы Microsoft Azure Bounty Program. За находку, отвечающую требованиям программы, можно получить до 40 000 долларов США.

Особая благодарность исследователям безопасности и отраслевым партнерам

Мы считаем, что партнерские отношения с мировым сообществом исследователей безопасности имеют решающее значение для обеспечения безопасности наших клиентов. Для нас большая честь иметь возможность работать с таким количеством талантливых исследователей и отраслевых партнеров посредством скоординированного раскрытия уязвимостей (Coordinated Vulnerability Disclosure), чтобы делать Azure Sphere и экосистему Интернета вещей в целом более безопасными.

Мы высоко ценим сотрудничество с мировым сообществом исследователей безопасности и нашими ключевыми отраслевыми партнерами, включая Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks и Zscaler.

Tags: Microsoft Azure Sphere, безопасность

©  Microsoft