(https://www.bleepstatic.com/content/hl-images/2025/04/24/Microsoft.jpg)
Microsoft ha ampliado su programa de recompensas por errores de .NET y ha aumentado las recompensas a 40 000 USD para algunas vulnerabilidades de .NET y ASP.NET Core.
Madeline Eckert, directora sénior del programa de Incentivos y Recompensas para Investigadores de Microsoft, afirmó que estos cambios buscan reflejar con mayor precisión la complejidad que implica descubrir y explotar vulnerabilidades de .NET.
"Nos complace anunciar importantes actualizaciones del Programa de Recompensas de Microsoft .NET. Estos cambios amplían el alcance del programa, simplifican la estructura de premios y ofrecen excelentes incentivos para los investigadores de seguridad", declaró Eckert.
"El Programa de Recompensas de .NET ahora ofrece premios de hasta 40 000 USD para vulnerabilidades que afecten a .NET y ASP.NET Core (incluidos Blazor y Aspire)".
A partir de hoy, Microsoft pagará hasta 40 000 dólares por fallos de seguridad críticos de ejecución remota de código y escalada de privilegios, así como 30 000 dólares por omisiones críticas de funciones de seguridad y hasta 20 000 dólares por errores críticos de denegación de servicio remoto.
El programa de recompensas por errores de .NET también se ha ampliado para cubrir mejor las vulnerabilidades de .NET Framework y ahora incluye:
Todas las versiones compatibles de .NET y ASP.NET,
Tecnologías adyacentes como F#,
Versiones compatibles de ASP.NET Core para .NET Framework,
Plantillas proporcionadas con las versiones compatibles de .NET y ASP.NET Core,
Acciones de GitHub en los repositorios de .NET y ASP.NET Core.
A principios de este año, Microsoft aumentó sus recompensas a 30 000 dólares por vulnerabilidades de IA detectadas en los servicios y productos de Power Platform y Dynamics 365.
En febrero, anunció un aumento en los pagos por vulnerabilidades de seguridad de Microsoft Copilot (IA) de gravedad moderada y un multiplicador de premios del 100 % para todas las recompensas de Copilot para incentivar la investigación en IA.
Durante la conferencia anual Ignite del año pasado, Microsoft también lanzó Zero Day Quest, un evento de hacking centrado en productos y plataformas de IA y en la nube, que ofrece 4 millones de dólares en recompensas.
Estos esfuerzos son parte de la Iniciativa de Futuro Seguro (SFI) de la compañía, un plan de ingeniería de ciberseguridad para toda la compañía lanzado en noviembre de 2023, luego de un mordaz informe emitido por la Junta de Revisión de Ciberseguridad del Departamento de Seguridad Nacional, que afirmó que la "cultura de seguridad de Microsoft era inadecuada y requiere una revisión".
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/microsoft-now-pays-up-to-40-000-for-some-net-vulnerabilities/