0
0
O Azure Sphere Security Research Challenge, anunciado em maio, convidou pesquisadores de segurança a encontrar vulnerabilidades no Azure Sphere, a solução de segurança de IoT da Microsoft, que a gigante da tecnologia projetou para fornecer segurança completa entre hardware, sistema operacional e nuvem.
A Microsoft disse que recebeu um total de 40 relatórios de vulnerabilidade, dos quais 30 levaram a melhorias e 16 elegíveis para uma recompensa por bugs. A maior recompensa paga foi de US$ 48 mil e a menor foi de US$ 3.300.
A Microsoft se uniu a vários provedores de soluções de segurança cibernética para o desafio de recompensa de bugs do Azure Sphere, incluindo Avira, Baidu, Bitdefender, Bugcrowd, Cisco, ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks e Zscaler. No entanto, diz que a Cisco e a McAfee encontraram algumas das vulnerabilidades mais interessantes.
A McAfee publicou um longo relatório detalhando suas descobertas e a empresa disse que ganhou um total de US$ 160.000, que planeja doar para caridade. Os pesquisadores da empresa conseguiram obter acesso raiz ao acorrentar seis bugs, três dos quais foram classificados como críticos. As descobertas da McAfee também incluíram uma vulnerabilidade até então desconhecida no kernel Linux.
A Cisco Talos também descreveu as vulnerabilidades encontradas por seus pesquisadores. Eles identificaram mais de uma dúzia de problemas, incluindo execução arbitrária de código, negação de serviço (DoS), divulgação de informações e falhas de escalada de privilégios. Talos também divulgou em agosto algumas das vulnerabilidades encontradas na Esfera azul.
“Esta foi nossa primeira expansão do Azure Security Lab, um experimento para fornecer aos pesquisadores recursos adicionais para ajudar a desencadear novas pesquisas de alto impacto e desenvolver uma colaboração estreita entre a comunidade de pesquisa de segurança e as equipes de engenharia da Microsoft por meio de horas semanais de escritório e oportunidades de colaboração direta”, disse Sylvie Liu, gerente sênior de programas de segurança da Microsoft. “Acreditamos fortemente que este desafio e as próximas expansões do Laboratório de Segurança do Azure ajudarão a continuar a proteger nossa nuvem e esfera do Azure, e estamos ansiosos para expandir os recursos disponíveis para pesquisadores de segurança para apoiar pesquisas de alto impacto.”
A Microsoft apontou que os caçadores de recompensas de bugs podem continuar a relatar vulnerabilidades encontradas no Azure Sphere através do Programa de Recompensas do Azure, que oferece recompensas de até US$ 40.000.
FONTE: SECURITY WEEK