Η Microsoft ανακοίνωσε σήμερα στο ετήσιο συνέδριό της στο Ignite στο Σικάγο του Ιλινόις, ότι επεκτείνει τα προγράμματα bug bounty με το Zero Day Quest, μια νέα εκδήλωση hacking που εστιάζει σε προϊόντα και πλατφόρμες cloud και AI.
Η εκδήλωση ξεκινά σήμερα με μια ερευνητική πρόκληση όπου οι υποβολές τρωτών σημείων για συγκεκριμένα σενάρια μπορούν να κερδίσουν πολλαπλάσια βραβεία bounty και ενδέχεται να προκριθούν για την επιτόπια εκδήλωση hacking 2025 στο Ρέντμοντ της Ουάσιγκτον.
Για να προωθήσει περαιτέρω την ασφάλεια της τεχνητής νοημοσύνης, από σήμερα, η Microsoft λέει ότι θα προσφέρει επίσης διπλά βραβεία για ευπάθειες τεχνητής νοημοσύνης που αναφέρουν ερευνητές ασφάλειας, παρέχοντάς τους επίσης άμεση πρόσβαση στους μηχανικούς της Microsoft AI και στην AI Red Team της εταιρείας.
“Αυτή η νέα εκδήλωση hacking θα είναι η μεγαλύτερη του είδους της, με επιπλέον 4 εκατομμύρια δολάρια σε πιθανά βραβεία για έρευνα σε τομείς υψηλής επίδρασης, ειδικά στο cloud και στην τεχνητή νοημοσύνη”, δήλωσε ο Tom Gallagher, Αντιπρόεδρος Μηχανικής στο Microsoft Security Response Center (MSRC). ).
“Το Zero Day Quest θα προσφέρει νέες ευκαιρίες στην κοινότητα ασφαλείας να συνεργαστεί χέρι-χέρι με τους μηχανικούς της Microsoft και τους ερευνητές ασφαλείας – συγκεντρώνοντας τα καλύτερα μυαλά στον τομέα της ασφάλειας για να μοιραστούν, να μάθουν και να δημιουργήσουν κοινότητα καθώς εργαζόμαστε για να κρατάμε όλους ασφαλείς.”
Αυτό αποτελεί μέρος της Πρωτοβουλίας Ασφαλούς Μέλλοντος (SFI) της Microsoft, μιας προσπάθειας μηχανικής ασφάλειας στον κυβερνοχώρο που ξεκίνησε τον Νοέμβριο του 2023 για να ενισχύσει την προστασία της κυβερνοασφάλειας στα προϊόντα της ακριβώς στην ώρα της για να προλάβει μια καυστική έκθεση που εκδόθηκε από την Επιτροπή Αναθεώρησης Κυβερνοασφάλειας του Υπουργείου Πατρίδας των ΗΠΑ Ασφάλεια ρητό ότι η «κουλτούρα ασφαλείας της εταιρείας ήταν ανεπαρκής και απαιτεί αναθεώρηση».
Όπως ανέφερε η BleepingComputer, η Microsoft βρέθηκε στο στόχαστρο των επιθέσεων Κινέζων χάκερ τον Μάιο, όταν οι εισβολείς έκλεψαν πάνω από 60.000 email από λογαριασμούς του Υπουργείου Εξωτερικών των ΗΠΑ μετά την παραβίαση της πλατφόρμας email Exchange της εταιρείας που βασίζεται στο cloud.
Τα ελαττώματα ασφαλείας που επηρεάζουν πολλά άλλα προϊόντα και πλατφόρμες της Microsoft έχουν επίσης χρησιμοποιηθεί σε εκτεταμένες επιθέσεις. Για παράδειγμα, τα τελευταία χρόνια, πολλοί παράγοντες απειλών (συμπεριλαμβανομένων συμμοριών ransomware) έχουν καταχραστεί τις ευπάθειες ProxyShell, ProxyNotShell και ProxyLogon για να στοχεύσουν δεκάδες χιλιάδες διακομιστές Exchange που εκτέθηκαν στο διαδίκτυο.
«Στο πλαίσιο της πρωτοβουλίας μας για το Secure Future Initiative (SFI), θα μοιραζόμαστε με διαφάνεια κρίσιμα τρωτά σημεία μέσω του προγράμματος Common Vulnerabilities and Exposures (CVE), ακόμη και αν δεν απαιτούν καμία ενέργεια από τον πελάτη», πρόσθεσε ο Gallagher.
“Τα διδάγματα από το Zero Day Quest θα κοινοποιηθούν σε όλη τη Microsoft για να συμβάλουν στη βελτίωση της ασφάλειας του cloud και της τεχνητής νοημοσύνης – από προεπιλογή, από το σχεδιασμό και τις λειτουργίες.”
Σήμερα, η Microsoft μοιράστηκε επίσης περισσότερες πληροφορίες σχετικά με τη νέα δυνατότητα ασφαλείας προστασίας διαχειριστή, η οποία είναι διαθέσιμη σε προεπισκόπηση σε συσκευές Windows 11 και έχει σχεδιαστεί για να εμποδίζει την πρόσβαση σε σημαντικούς πόρους του συστήματος χρησιμοποιώντας επιπλέον μηνύματα ελέγχου ταυτότητας του Windows Hello.
VIA: bleepingcomputer.com
