Microsoft heeft het beloningsprogramma voor beveiligingsonderzoekers verder uitgebreid, waarbij de softwaregigant nu ook 100.000 dollar voor bijzondere exploits betaalt. Het gaat dan om exploits die van onbekende aanvalstechnieken gebruik maken om de beveiliging van Windows te omzeilen.

Oorspronkelijk konden alleen onderzoekers aan het beloningsprogramma deelnemen die zelf dit soort exploits of aanvalstechnieken ontwikkelden. Door de regels uit te breiden kunnen nu ook forensische experts en mensen die beveiligingsincidenten onderzoeken en dit soort exploits bij aanvallen aantreffen in aanmerking voor een beloning komen.

Schild

Het beloningsprogramma is niet bedoeld voor bijvoorbeeld een beveiligingslek in Internet Explorer, maar voor exploits die beveiligingsmaatregelen in het besturingssysteem weten te omzeilen. Volgens Microsoft zijn deze systeembrede beveiligingsmaatregelen met een schild te vergelijken dat het gehele besturingssysteem en alle applicaties die erop draaien beschermt, terwijl een enkele bug net als een pijl is.

"Hoe sterker het schild, hoe kleiner de kans dat een enkele bug of pijl kan doordringen", zegt Katie Moussouris van het Microsoft Security Response Center. Het weten hoe aanvallers het schild kunnen omzeilen is dan ook waardevoller dan het ontdekken van een enkele bug, omdat inzicht in nieuwe exploittechnieken tegen een gehele groep aanvallen kan beschermen, in tegenstelling tot een patch voor een enkel lek.

Beloning

Om in aanmerking voor de beloning van 100.000 dollar te komen moeten deelnemers proof-of-conceptcode en een technische analyse van de ontdekte exploit opsturen. In het geval deelnemers een idee hebben hoe de ontdekte aanvalstechniek kan worden afgeslagen, betaalt Microsoft een extra 50.000 dollar.