Microsoft heeft een Amerikaanse beveiligingsonderzoeker 100.000 dollar betaald die een geheel nieuwe manier ontdekte om de beveiliging van Windows 8.1 te omzeilen. De softwaregigant kondigde in juni twee programma's aan waarbij het onderzoekers voor het verantwoord melden van beveiligingslekken beloont.

Het eerste programma betrof de testversie van Internet Explorer 11 en duurde 30 dagen. Het andere beloningsprogramma is voor het melden van geheel nieuwe aanvalstechnieken op Windows 8.1 waarbij bestaande beveiligingstechnieken en maatregelen worden omzeild. Dit programma loopt nog steeds en kent de hoogste beloning van beide programma's, namelijk 100.000 dollar.

Beveiligingsonderzoeker James Forshaw van Context Information Security heeft deze beloning in de wacht gesleept. De onderzoeker had al verschillende bugs in de testversie van Internet Explorer 11 ontdekt die hem 9400 dollar opleverden. Hij ontdekte echter ook een geheel nieuwe exploit-techniek om de beveiligingsmaatregelen in de previewversie van Windows 8.1 te omzeilen. Om deze techniek te kunnen misbruiken moet een aanvaller wel over een beveiligingslek beschikken.

Platform

"De reden dat we zoveel voor een nieuwe aanvalstechniek betalen ten opzichte van een individuele bug, is dat het leren van een nieuwe aanvalstechniek ons helpt om een verdediging tegen een gehele reeks van aanvallen te ontwikkelen", zegt Katie Moussouris van het Microsoft Security Response Center.

Volgens Moussouris helpt deze kennis om individuele kwetsbaarheden minder bruikbaar te maken als aanvallers ze tegen klanten proberen in te zetten. "Als we de beveiliging in ons gehele platform versterken, maken we het lastiger om bugs te misbruiken in alle software die op ons platform draait, niet alleen Microsoft-applicaties."