2019-11-19 20:06 (화)
MS, 윈도우 취약점에 대한 새로운 버그바운티 계획 발표…최대 1만5천달러
상태바
MS, 윈도우 취약점에 대한 새로운 버그바운티 계획 발표…최대 1만5천달러
  • hsk 기자
  • 승인 2017.08.09 12:55
이 기사를 공유합니다

Hyper-V full 익스플로잇에 대해서는 25만달러까지 상금 지급

MS-7.jpg
마이크로소프트(MS)가 윈도우 보안 취약점에 대해 최대 15,000달러를 보상하는 새로운 버그바운티 계획을 발표했다.

MS는 2013년부터 보안 연구원이 악용 가능한 결함을 발견, 보고하는 것에 대해 재정적 보상을 하는 버그바운티 프로그램을 운영해왔다. 당시 MS는 인터넷 익스플로러(Internet Explorer) 11 버그에 대해 최대 11,000달러를 지불했다. 그 이후에는 Hyper-V 하이퍼바이저나 DEP와 ASLR, Edge 브라우저같은 윈도우의 광범위한 익스플로잇 미티게이션 시스템에 존재하는 취약점에 대한 구체적인 보상 프로그램을 확장했다.

해당 버그바운티 프로그램 중 상당수는 베타 버전이나 개발 기간만 해당하는 등 시간 제한이 있었고 배포 이후에는 종료되었다. 이 구조는 일반 최종 사용자에게 배포되기 전, 더 정밀한 조사를 위한 시도였다. 하지만 지난달 엣지(Edge) 바운티 프로그램은 더 이상 특정 기간에 묶이지 않은 지속적인 계획으로 변경되었다.

이번에 발표된 버그바운티 제도는 중점 분야에서는 변화가 없었다. Edge, 윈도우 미티게이션 기술, Hyper-V, 그리고 윈도우 방어 앱 모두 각각에 대한 바운티 체계가 있어서 윈도우 나머지 부분에 대해서도 포괄적인 역할을 하고 있다.

높은 질의 PoC 코드와 함께 윈도우 원격 코드 실행 취약점을 제보한 연구원은 15,000달러를 보상받게 된다. 권한 상승에 대해서는 10,000달러를 보상받을 수 있고, 정보 유출, 서비스 거부, 스푸핑도 최대 5,000달러까지 보상받을 수 있다.

타깃 공격에 대한 보상금 기준은 훨씬 높다. 공격자가 가상머신을 제어하고 임의 코드 실행이 가능한 Hyper-V full 익스플로잇에 대해서는 25만달러의 상금이 있다. 익스플로잇 미티게이션 기술의 전범위 우회에 대한 익스플로잇에 성공하면 10만달러를 받을 수 있다.

★정보보안 대표 미디어 데일리시큐!★