Microsoft heeft een nieuw bug bounty programma gelanceerd. Binnen dat programma biedt de techgigant zo’n 250.000 dollar voor mensen die nieuwe side-channel aanvallen ontdekken. Dat in het licht van bedreigingen die voortkomen uit de Spectre en Meltdown-kwetsbaarheden.

Het programma zal slecht korte tijd blijven bestaan, omdat het gaat om een aantal nieuwe bedreigingen die Microsoft vermoedelijk snel opgelost denkt te krijgen. Het bedrijf schijft dat het dus enkel gaat om side-channel aanvallen, een type aanval dat in januari 2018 ontdekt werd.

Veranderend bedreigingsniveau

Het type bedreiging is dus veranderd en daar wenst Microsoft op in te spelen met dit nieuwe programma. Het is gelanceerd om “onderzoek naar dit nieuwe type kwetsbaarheden te stimuleren en onderzoek naar de maatregelen die Microsoft bedacht heeft om problemen in deze categorie tegen te gaan aan te moedigen.”

Het programma bestaat tot eind dit jaar. Maximaal kan er een beloning van 250.000 dollar verdiend worden voor een ‘type 1’ speculative execution attack. Microsoft betaalt tot 200.000 dollar voor een ‘type 2’ Azure speculative execution mitigation bypass en ‘type 3’ Windows speculative execution mitigation bypass. Er zijn ook kleinere beloningen te verdienen. Zo kan er 25.000 dollar verdiend worden in kleinere gevallen die Windows 10 of Microsoft Edge betreffen.

Phillip Misner, manager van de security group binnen het Microsoft Security Response Center, verwacht dat er al onderzoek gedaan wordt naar dit nieuwe type cyberaanval. “Dit beloningsprogramma is bedoeld als een manier om dat onderzoek te koesteren en de bekendmaking van kwetsbaarheden gerelateerd aan deze problemen te coördineren.”