Chương trình nghiên cứu bảo mật Azure Sphere (Azure Sphere Security Research Challenge) đã mời các nhà nghiên cứu bảo mật tìm các lỗ hổng trong Azure Sphere, giải pháp bảo mật IoT được Microsoft thiết kế để cung cấp bảo mật đầu cuối trên phần cứng, hệ điều hành và đám mây.
Microsoft cho biết, họ đã nhận được tổng số 40 báo cáo lỗ hổng bảo mật, 30 trong số đó dẫn đến các cải tiến và 16 báo cáo đủ điều kiện nhận tiền thưởng lỗi. Phần thưởng cao nhất trị giá 48.000 USD và thấp nhất trị giá 3.300 USD.
Thực hiện chương trình, Microsoft đã kết hợp với một số nhà cung cấp các giải pháp an ninh mạng, bao gồm Avira, Baidu, Bitdefender, Bugcrowd, Cisco, ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks và Zscaler. Tuy nhiên, Cisco và McAfee đã tìm thấy những lỗ hổng thú vị nhất.
McAfee đã công bố một báo cáo dài, chi tiết về những phát hiện của mình và cho biết họ kiếm được tổng cộng 160.000 USD. Số tiền này họ có kế hoạch sẽ quyên góp cho tổ chức từ thiện. Các nhà nghiên cứu đã tìm cách chiếm được quyền truy nhập gốc (root) bằng kỹ thuật móc nối 6 lỗ hổng, 3 trong số đó được đánh giá là nghiêm trọng. Những tìm kiếm của McAfee cũng bao gồm một lỗ hổng chưa từng biết đến trước đây trong nhân Linux.
Theo Cisco Talos, 12 lỗ hổng được các nhà nghiên cứu của hãng phát hiện liên quan tới việc thực thi mã tùy ý, từ chối dịch vụ (DoS), lộ lọt thông tin và các lỗ hổng leo thang đặc quyền. Vào tháng 8, Talos cũng tiết lộ thêm một số lỗ hổng được tìm thấy trong Azure Sphere.
Sylvie Liu, Giám đốc chương trình bảo mật cấp cao tại Microsoft cho biết: "Đây là lần đầu tiên chúng tôi mở rộng phòng thí nghiệm bảo mật Azure (Azure Security Lab), một thử nghiệm nhằm cung cấp cho các nhà nghiên cứu các nguồn tài nguyên bổ sung để thúc đẩy nghiên cứu mới, có tầm ảnh hưởng lớn và phát triển sự hợp tác giữa cộng đồng các nhà nghiên cứu với các nhóm kỹ sư của Microsoft.
Chúng tôi rất tin tưởng chương trình này và những mở rộng sắp tới của Azure Security Lab sẽ giúp tiếp tục bảo vệ đám mây và Azure Sphere của chúng tôi, đồng thời chúng tôi mong muốn mở rộng các tài nguyên sẵn có cho cá các nhà nghiên cứu bảo mật để hỗ trợ nghiên cứu có tầm ảnh hưởng cao".
Microsoft cũng chỉ ra rằng, những người muốn kiếm tiền thưởng cho phát hiện lỗi có thể tiếp tục báo cáo các lỗ hổng được tìm thấy trong Azure Sphere thông qua Chương trình Azure Bounty. Chương trình này có mức thưởng lên tới 40.000 USD.
