Microsoft Exchange : jusqu’à 20 000 dollars pour une vulnérabilité de type ProxyShell
Microsoft vient de lancer un nouveau programme de récompenses pour la découverte de vulnérabilités dans ses serveurs Exchange et Sharepoint. Avec jusqu’à 20 000 $ pour celles qui seraient aussi critiques que ProxyLogon et ProxyShell.
Microsoft a-t-il pleinement pris la mesure de l’impact, pour ses clients, des vulnérabilités ayant affecté son serveur de messagerie Exchange depuis début 2021 ? Dans une certaine mesure, peut-être. L’éditeur vient ainsi d’annoncer le lancement d’un programme de bug bounty proposant des récompenses à qui lui signalera des vulnérabilités au sein d’Exchange.
Pour un rapport de haute qualité concernant une vulnérabilité critique permettant l’exécution de code arbitraire à distance (RCE, Remote Code Execution), Microsoft propose un maximum de 20 000 dollars. Pour un rapport de « basse » qualité, il faut se contenter de 10 000 dollars, contre 15 000 dollars pour un livrable « moyen ».
Des chercheurs découvrant des vulnérabilités comparables aux tristement célèbres ProxyLogon et ProxyShell, qui ont joyeusement émaillé le quotidien des DSI et des RSSI du monde entier depuis le début du mois de mars 2021, devraient donc se réjouir de voir leurs travaux récompensés par une prime maximale de 20 000 dollars. Et cela vaut probablement pour la plus récente CVE-2022-23277.
Il y a fort à parier que des dents ne manqueront pas de grincer, chez les entreprises clientes de Microsoft utilisatrices de serveurs Exchange on-premise, à la découverte des récompenses proposées. Et l’on pense notamment aux membres du Cesin et du Cigref.
Surtout, la somme maximale proposée par Microsoft pour une vulnérabilité RCE critique pour Exchange apparaît bien faible par rapport à ce que peut proposer Zerodium : jusqu’à 250 000 $. Mais celui-ci sait probablement combien il peut retirer d’une telle vulnérabilité auprès de ses clients finaux.
Le nouveau programme de récompenses de Microsoft ne concerne pas qu’Exchange. SharePoint on-premise est également concerné, suivant la même grille de gratifications. Les clients Teams pour client lourd et terminaux mobiles sont également au menu. Mais là, les récompenses sont quelque peu plus généreuses : jusqu’à 30 000 $ pour une vulnérabilité permettant de forcer l’exécution de code à distance sans interaction de l’utilisateur. À titre de comparaison, Zerodium propose jusqu’à 500 000 $ pour des vulnérabilités RCE avec élévation locale de privilèges sur les clients mobiles de Telegram ou encore Signal, notamment.