As recompensas de Bug Bounty no programa ZDI da Trend Micro pode chegar a US $1.5 milhão em falhas do lado servidor

A Iniciativa Zero Day (ZDI) da Trend Micro está pedindo aos pesquisadores que se concentrem nas vulnerabilidades do lado do servidor através de uma nova adição de recompensa de bugs.

Na terça-feira, a iniciativa de pesquisa disse que o Programa de Incentivo Direcionado (TIP), um novo acordo para o já bem-sucedido programa de recompensas de erros da ZDI, oferecerá US $ 1,5 milhão em "prêmios especiais de recompensa por alvos específicos".

Enquanto a ZDI publicou mais de 600 alertas de segurança baseados em relatórios de bugs neste ano, de acordo com Brian Gorenc, Diretor de Pesquisa de Vulnerabilidades da ZDI, agora é a hora de começar a direcionar os pesquisadores para áreas específicas que nos interessam ou aprimoram proteções para nossos clientes. "

A equipe, em particular, quer começar a ver mais relatórios relacionados a vulnerabilidades críticas do lado do servidor - e eles esperam que o lançamento do TIP cause um aumento nos relatórios de vulnerabilidades críticas que afetam sistemas como WordPress, Drupal e Microsoft. IIS.

No entanto, as regras da adição de bugs são ligeiramente diferentes. A recompensa financeira especial só está disponível por um certo período de tempo - e será concedida somente à primeira inscrição bem-sucedida.

A partir de 1º de agosto, os pesquisadores de segurança podem inserir relatórios para os sistemas do lado do servidor. No começo, a ZDI deseja se concentrar principalmente em produtos de código aberto. Por exemplo, os pesquisadores têm até o final de outubro para ganhar US $ 35.000 para descobrir e reportar uma vulnerabilidade crítica no WordPress, e até o final de janeiro de 2019 se quiserem explorar exploits que afetam o Microsoft IIS.

Os prazos e recompensas para as entradas iniciais no programa TIP estão abaixo:

"O primeiro pesquisador que fornece uma exploração totalmente funcional, demonstrando a execução remota de código, ganha a quantia total de recompensas", diz Gorenc. "Quando o prêmio for reivindicado, o alvo será removido da lista e um novo alvo será adicionado à lista de alvos."

As inscrições devem incluir explorações em pleno funcionamento e não apenas relatórios de prova de conceito (PoC). Além disso, os bugs válidos têm que ser vulnerabilidades de dia zero com a capacidade de afetar o código principal de destinos.

A ZDI acrescentou que as entradas da TPI devem aproveitar uma vulnerabilidade ou uma cadeia de bugs para modificar o caminho de execução padrão de um programa ou processo para permitir a execução de comandos arbitrários, ignorando as defesas de mitigação do alvo no processo.

Essas execuções de código podem incluir, mas não estão limitadas a, DEP (Prevenção de Execução de Dados), ASLR (Address Space Layout Randomization) e sandbox de aplicativos.

Salvo indicação em contrário, os caçadores de recompensas de bugs devem adaptar sua pesquisa de exploração à versão mais recente e totalmente corrigida do software de destino.

A partir de agora, a ZDI reservou mais de US $ 1 milhão para recompensas, incluindo metas futuras que estarão na faixa de US $ 200.000 a US $ 250.000.

"Os erros visados ​​por este programa representam alguns dos softwares mais utilizados e confiáveis ​​disponíveis", diz Gorenc. "Estamos ansiosos para encontrar - e eliminar - o maior número possível".

Os relatórios enviados para o TIP serão entregues da mesma forma que o programa atual de recompensas de erros da Trend Micro. Uma vez notificado, os fornecedores terão 120 dias para resolver falhas de segurança.

FONTE:ZDNET