Security is voor Microsoft de laatste jaren meermaals een pijnlijk punt gebleken. Nu vergroot de techreus zijn bug bounty-programma echter drastisch. Alle kritieke kwetsbaarheden die online diensten raken, komen voortaan in aanmerking voor beloningen, ongeacht of het om eigen code, third-party software of open-source gaat. De aanpak, samengevat onder de term “In Scope by Default”, suggereert een positieve wending in het securitypostuur van Microsoft.
Het Amerikaanse techbedrijf maakte de uitbreiding bekend tijdens Black Hat Europe. Tom Gallagher, VP Engineering bij Microsoft Security Response Center, benadrukt dat aanvallers zich niet beperken tot specifieke producten of diensten. “Ze geven er niet om wie de code bezit die ze proberen te misbruiken. Dezelfde benadering zou moeten gelden voor de security-gemeenschap.”
Op de vingers getikt
Het is een positief geluid vanuit Microsoft, dat zelf de prioriteit van security binnen de eigen software leek te hebben afgezwakt. Wake-up calls kwamen er in de vorm van compromissen door de Russen en Chinezen, terwijl het Amerikaanse Cyber Safety Review Board vernietigend oordeelde over de securitypraktijken van Microsoft.
Dergelijke aanvallen dienen nu verleden tijd te blijven, althans compromissen waarbij Microsoft veel aan te rekenen valt. Ook om het eigen cloudaanbod, de eigen applicaties en de leidende rol binnen het IT-ecosysteem aan te blijven jagen, was verbetering nodig. Nu blijkt het vernieuwde bug bounty-programma een teken van deze gehoopte verbetering te zijn. We hopen dan ook vaker over positieve initiatieven te schrijven, niet alleen vanuit Microsoft natuurlijk. De ruime opzet van dit programma klinkt in ieder geval uiterst positief.
Derde partijen en open-source inbegrepen
Historisch gezien had elk Microsoft-product een vastgestelde scope binnen het bounty-programma. Die beperking verdwijnt nu grotendeels. Als een kritieke kwetsbaarheid directe en aantoonbare impact heeft op online diensten, komt deze in aanmerking voor een beloning. Dat geldt ook voor problemen in code van derden of open-source componenten. Er zit dus zeker een subjectief component aan, want bug bounty-aanvragen moeten duidelijk maken waarom Microsoft er iets aan heeft, maar dat is gebruikelijk bij dergelijke programma’s.
Microsoft erkent dat securityproblemen vaak ontstaan waar componenten op elkaar aansluiten of waar afhankelijkheden zijn. Het bedrijf waardeert onderzoek dat deze bredere context meeneemt. Ook Microsoft-domeinen en bedrijfsinfrastructuur vallen voortaan onder het programma, zelfs waar voorheen geen bounty-regeling bestond.
Met de opkomst van AI en agentic workflows is deze interactie tussen componenten en applicaties extra kwetsbaar, zeker als organisaties iets te vrijgevig zijn met het verschaffen van toegang voor AI-systemen. Een kwaadwillende kan die mogelijkheid tot interactie exploiteren en wellicht op manieren die AI helpt te vinden.
Directe impact na vaststelling
Zodra een nieuwe dienst verschijnt, valt deze automatisch binnen de scope. Dat is concreet de betekenis achter de “In Scope by Default”-titel. Dat scheelt onderzoekers onduidelijkheid over wat wel of niet onderzocht mag worden. Microsoft belooft alle gemelde problemen te verhelpen, ongeacht de eigenaar van de code.
Vorig jaar keerde het bedrijf via bug bounty’s en Zero Day Quest al meer dan 17 miljoen dollar uit aan onderzoekers. Die inzet bleek nodig: beveiligingslekken in kritieke diensten hebben potentieel enorme gevolgen. Daarbij is het voor Microsoft veelal nodig om bepaalde spelregels te hanteren, ook al stuiten die soms op inperkingen vanuit regelgevers. Denk aan toegang tot de kernel voor securityproducten, dat op 19 juli 2024 leidde tot de wereldwijde CrowdStrike-storing met miljoenen uitgevallen Windows-systemen tot gevolg. Vorig jaar hield Microsoft al een security-top om een herhaling hiervan te voorkomen, met een focus op de rol die kernel mode wel en niet kan spelen om endpoints te beschermen.
Extra aandacht
De uitbreiding van het bug bounty-programma richt zich specifiek op hoogrisico-gebieden waar aanvallers het meest actief zijn. Microsoft-domeinen en clouddiensten krijgen extra aandacht. Security-onderzoekers kunnen problemen opsporen waar insiders dat niet kunnen, omdat zij als buitenstaanders denken als een aanvaller.
Onderzoek moet wel verlopen volgens de Rules of Engagement for Responsible Security Research. Deze richtlijnen beschermen klantdata en privacy. Onderzoekers moeten zich hieraan houden voordat ze beginnen. Daarna kunnen ze bevindingen indienen voor beoordeling en gecoördineerde openbaarmaking.
De nieuwe aanpak had vermoedelijk niet plaatsgevonden als Microsoft niet in bredere zin security-initiatieven aanjaagt, zowel intern als nu extern. Het bedrijf werkt samen met de security-gemeenschap om beveiliging prioriteit te geven in alle activiteiten. De nieuwe werkwijze werd al uitgelegd eind 2023, toen het Secure Future Initiative op gang kwam.