(https://i.imgur.com/bUmkqRb.jpeg)
Microsoft ha anunciado un cambio trascendental en su política de recompensas por vulnerabilidades, ampliando significativamente el alcance de su programa para abarcar cualquier fallo crítico que afecte a sus servicios online, independientemente de si fue causado por código propio, de terceros o de proyectos de código abierto. Esta actualización marca un nuevo estándar en la industria y refuerza la apuesta de Microsoft por la seguridad como pilar estratégico.
El anuncio se realizó durante Black Hat Europe, donde Tom Gallagher, vicepresidente de ingeniería en el Microsoft Security Response Center (MSRC), presentó los detalles del nuevo enfoque. El mensaje fue claro: los atacantes no distinguen entre software desarrollado por Microsoft o por un proveedor externo; por lo tanto, Microsoft tampoco lo hará al momento de recompensar vulnerabilidades que representen un riesgo directo para sus servicios en la nube.
Un programa de recompensas ampliado para cubrir el panorama real de riesgosAntes de este cambio, las recompensas estaban limitadas a vulnerabilidades presentes exclusivamente en tecnologías desarrolladas por Microsoft. Sin embargo, Gallagher subrayó que los atacantes buscan puntos débiles en cualquier eslabón de la cadena de suministro digital, desde componentes internos hasta librerías externas ampliamente utilizadas.
A partir de ahora:
- Cualquier vulnerabilidad crítica que afecte a un servicio online de Microsoft será elegible para recompensa.
- El origen del código deja de ser relevante: puede pertenecer a Microsoft, a un proveedor comercial o a un proyecto de código abierto.
- Los nuevos servicios entran automáticamente en alcance desde el momento en que se lanzan.
- Las dependencias de terceros, tanto comerciales como open source, serán consideradas parte del ecosistema evaluable si su explotación afecta a un servicio de Microsoft.
CitarGallagher lo explicó así:
"Si una vulnerabilidad crítica tiene un impacto directo y demostrable en nuestros servicios online, es elegible para un premio. Independientemente de si el código es propiedad de Microsoft, de un tercero o es de código abierto, haremos lo necesario para corregir el problema."
Esta decisión pretende estimular la investigación en áreas donde los actores maliciosos tienen mayores probabilidades de actuar. Es un reconocimiento explícito de que la cadena de suministro del software es hoy uno de los vectores de ataque más explotados.
Un esfuerzo para incentivar la investigación en áreas de alto riesgoGallagher destacó que el objetivo principal es dirigir la atención de la comunidad investigadora hacia los componentes más vulnerables y con mayor impacto potencial, incluso cuando no existan programas de recompensas específicos para esas tecnologías.
Citar"Donde no existan programas de recompensas, reconoceremos y premiaremos las ideas de la comunidad investigadora dondequiera que su experiencia las lleve", afirmó.
En los últimos 12 meses, Microsoft ha pagado más de 17 millones de dólares en recompensas a 344 investigadores de seguridad. En el período anterior, la compañía ya había desembolsado 16,6 millones de dólares a 343 investigadores, lo que demuestra un crecimiento sostenido en su compromiso por fortalecer la seguridad de sus productos.
Con la ampliación del programa, Microsoft se posiciona como uno de los actores más proactivos en la industria en cuanto al soporte y reconocimiento del trabajo de la comunidad de investigación en ciberseguridad.
Parte de la Iniciativa Futuro Seguro: un cambio estratégico globalEste anuncio forma parte de la Iniciativa Futuro Seguro, un plan corporativo destinado a reforzar la seguridad en todas las operaciones, productos y servicios de la compañía. La iniciativa busca abordar los desafíos modernos de ciberseguridad con medidas más integrales, automatizadas y orientadas al usuario.
Entre las actualizaciones más relevantes asociadas a esta iniciativa se encuentran:
1. Eliminación de ActiveX en Microsoft 365 y Office 2024Microsoft ha deshabilitado definitivamente todos los controles ActiveX en las versiones de Windows de sus aplicaciones de productividad. Esto responde a años de explotación de ActiveX en ataques dirigidos y a su uso como vector frecuente de código malicioso.
2. Nuevos valores predeterminados de seguridad en Microsoft 365Ahora, SharePoint, OneDrive y Office bloquean automáticamente el acceso a archivos cuando los usuarios intentan autenticarse mediante protocolos heredados, ampliamente explotados en ataques de ingeniería social y secuestro de sesiones.
3. Protección avanzada en Microsoft TeamsLa compañía está desplegando una nueva función para bloquear capturas de pantalla durante reuniones, dificultando el robo de información visual confidencial.
4. Defensa contra ataques de inyección de scripts en Entra IDMicrosoft también anunció mejoras en su sistema de seguridad de identidades, incluyendo nuevas protecciones contra intentos de script injection, una técnica cada vez más utilizada para robar credenciales y tokens de sesión.
Un paso adelante hacia una industria más seguraLa expansión del programa de recompensas no solo mejora la seguridad del ecosistema Microsoft, sino que también envía un mensaje claro al resto de la industria: la seguridad ya no puede limitarse al código propio. Las dependencias externas, integraciones, librerías open source y composiciones complejas del software moderno forman parte del panorama real de amenazas.
Con esta decisión, Microsoft reconoce oficialmente que la cadena de suministro del software es tan fuerte como su eslabón más débil, e invita a la comunidad global de investigadores a participar en la detección temprana de vulnerabilidades críticas.
Fuente: https://www.bleepingcomputer.com/