Microsoft heeft een onderzoeker met 100.000 dollar beloond voor het demonstreren van een nieuwe aanval op Windows 8.1, waardoor de beveiligingsmaatregelen van het platform worden omzeild. Dat laat de softwaregigant via Twitter weten. Het is pas de tweede keer dat de beloning wordt uitgeloofd.

Microsoft kondigde vorig jaar juni twee programma's aan waarbij het onderzoekers voor het verantwoord melden van beveiligingslekken beloont. Het eerste programma betrof de testversie van Internet Explorer 11 en duurde 30 dagen. Het andere beloningsprogramma is voor het melden van geheel nieuwe aanvalstechnieken op Windows 8.1 waarbij bestaande beveiligingstechnieken en maatregelen worden omzeild.

Dit programma loopt nog steeds en kent de hoogste beloning van beide programma's, namelijk 100.000 dollar (73.000 euro). Eerder wist beveiligingsonderzoeker James Forshaw de beloning in de wacht te slepen en nu heeft onderzoeker Yang Yu van het Chinese NSFOCUS Security Labs hetzelfde gedaan. Details over de nieuwe aanvalsmethode heeft Microsoft niet bekendgemaakt.

Aan de hand van deze voorwaarden wordt wel duidelijk waar de aanval aan moet voldoen om voor de beloning in aanmerking te komen. Zo moet de aanval technieken als DEP, ASLR, /GS, SEHOP, en SafeSEH omzeilen, generiek en betrouwbaar zijn, in usermode werken en op zo'n manier nieuw en onderscheidend zijn dat Microsoft er niet mee bekend is. Yu ontdekte vorig jaar ook al een manier om de beveiliging van Windows te omzeilen. Dat probleem is inmiddels door Microsoft gepatcht.