关于绿盟科技

公司新闻

绿盟收获微软大奖 国内唯一“五连冠”团队

时间:2017-04-27 来源: 作者: 打印 字号:T|T

近日,微软的绕过奖励计划MBB又公布了最新一期榜单Bounty Hunters: The Honor Roll。绿盟科技成为目前唯一一家连续5年获得微软缓解措施绕过技术悬赏项目奖金的安全公司。


作为国内信息安全领域的龙头企业,绿盟科技一直积极探索于安全科技前沿,积累了丰富的研究成果。同时,绿盟科技以精湛的技术和专业的精神,为国内金融、政府、运营商、能源等行业的重要信息系统以及Microsoft、Adobe、Google等国际公司,发现并解决了一系列安全问题,并获得一致好评。


 



绿盟科技连续五年斩获微软漏洞赏金计划高额奖金

 

微软绕过奖励计划MBB是什么?

官方称为Microsoft赏金计划 ,Microsoft将针对某些类型的漏洞和利用技术的报告提供赏金。

Microsoft 发起了许多活动以提高安全性和帮助保护客户,包括安全开发生命周期(SDL)过程和协调漏洞披露(CVD)。 创建了行业协作计划,例如微软主动保护计划(MAPP)和微软漏洞研究(MSVR),并设立了BlueHat奖以鼓励对防御技术的研究。自2013年6月,对报告特定漏洞类型的人员提供了赏金。这些赏金计划帮助Microsoft利用安全研究人员的集体智慧和能力来帮助保护客户。正如以下列表所示,多个有时间限制的计划仅适用于预览版本,因此可在完成最终版本前解决漏洞。

 

微软发布“bug赏金计划”最高可获得3万美金:

◆ portal.office.com

◆ outlook.office365.com

◆ outlook.office.com

◆ *.outlook.com

◆ outlook.com

 

在这些域名中,微软希望这些“赏金猎人”们帮忙查找以下9种类型的Bug:

◆ 跨站脚本攻击(XSS)

◆ 跨站请求伪造(CSRF)

◆ 未授权的跨租户数据篡改或访问(针对多租户服务)

◆ 不安全的直接对象引用

◆ 注入漏洞

◆ 身份验证漏洞

◆ 服务器端代码执行

◆ 特权提升漏洞

◆ 重大安全错误配置(非用户引起)

 

技术指标

微软方面没有透露相关漏洞的具体细节,但是有以下几个指标:

1 提交的技术、方法必须新颖,适用于Windows体系的利用远程代码执行漏洞;

2 必须是通用的,即适用于多个内存崩溃漏洞;

3 漏洞利用必须可靠,且有合理的请求;

4 必须适用于高风险的应用程序,如浏览器或文档阅读器;

5 必须适用于用户模式应用程序;

6 漏洞必须来源于微软产品的最新版本。

 

据绿盟科技专家解读,这次获奖是利用系统自身的特性,实现了任意代码劫持,从而绕过了所有的缓解措施。

 

绿盟科技安全研究不断突破 

绿盟科技研究院始终致力于跟踪国内外最新网络安全漏洞研究动向,持续开展漏洞分析和挖掘、逆向工程技术等安全专项研究,不断提高在入侵检测和防御、抗分布式拒绝服务、恶意软件和攻击行为分析检测、蜜罐和蜜网等方面的技术水平。同时,在云安全和虚拟化安全、基于软件即服务(SaaS)模式的新型安全服务、数据分析、安全度量、安全信誉、安全智能、威胁情报、物联网安全等前沿安全领域进行积极的研究探索。2016年,绿盟科技美国硅谷设立安全实验室,开展威胁情报和抗拒绝服务攻击等方面的研究。

 

2012年,绿盟科技获批成立中关村科技园区海淀园博士后工作站分站。目前已培养博士后2名,在站博士后3名。近两年来,研究院陆续发布了《软件定义安全:SDN/NFV新型网络的安全揭秘》和《破坏之王:DDoS攻击与防范深度剖析 》两部专著,发布《绿盟科技DDoS威胁报告》、《绿盟科技软件定义安全白皮书》、《物联网安全白皮书》、《下一代安全概念及特性分析》、《工控系统安全态势报告》、《绿盟科技工控安保框架白皮书》等一系列综合性报告。

 

截至2016年底,绿盟科技共发布安全漏洞研究公告88个,协助Microsoft、Adobe、Google、Cisco等公司,发现并解决了70个以上的安全漏洞问题,成为国家漏洞库的重要贡献者。绿盟科技安全漏洞库(NSVD)是国内领先的中文漏洞库。