Microsoft Sicherheitslücke richtig melden?
Hallo,
ich habe eine Sicherheitslücke in einem Teil von Microsoft Windows gefunden, bei der ein Sicherheitsmechanismus unzureichend abgesichert ist und zu einer privilege escalation führt. Ich habe jedoch noch nie eine Sicherheitslücke an Microsoft gemeldet und daher nach bestem Wissen und Gewissen das Report-Form des MSR-Centers ausgefüllt. Einen Tag später bekam ich dann aber diese Mail:
Hello,
Thank you for contacting the Microsoft Security Response Center (MSRC). In order to investigate your report I will need a valid proof of concept (POC) ideally with images or video, the detailed steps to reproduce the problem, and how an attacker could use it to exploit another user. Please also note that all bounty/acknowledgement decisions are made at a point past when an issue is cased and cannot be addressed here.
This thread is being closed and no longer monitored.
When ready, submit a new report at https://aka.ms/secure-at.
Please include:
- Relevant information previously provided in your initial report
- Detailed steps required to consistently reproduce the issue
- Short explanation on how an attacker could use the information to exploit another user remotely
- Proof-of-concept (POC), such as a video recording, crash reports, screenshots, or relevant code samples
The following links should answer most of your questions:
"Report a Computer Security Vulnerability"
<https://www.microsoft.com/msrc/faqs-report-an-issue>
"Frequently Asked Questions about Microsoft Bug Bounty Programs"
<https://www.microsoft.com/msrc/faqs-bounty>
"Microsoft Security Response Center PGP Key"
<https://www.microsoft.com/msrc/pgp-key-msrc>
"Microsoft Bounty Programs"
<https://www.microsoft.com/msrc/bounty>
Regards,
MSRC
Ich kann das Problem aber nicht nachvollziehen, da ich beim proof of concept alles vollständig angegeben habe, und sogar explizit erwäht wurde, dass man keine Fotos machen soll (zuwieder der Empfehlung dieser Mail).
Habe ich meine Schwachstelle überhaupt auf der Richtigen Seite gemeldet?
Kennt ihr da einen Ansprechspartner ? Ich kann keine Telefonnummer o.ä. finden um überhaupt einmal mit dem Support über die Submission sprechen zu können.
Ich weiß dass es schwierig ist, zu ermitteln ob mein proof of concept korrekt ist, ohne es euch zeigen zu können, aber geht mal davon aus, dass es korrekt verfasst ist.
2 Antworten
da sind diverse Links mit Informationen zu dem Vorgang. Melde es so, wie es in den Links steht. Da steht ja auch, wo du es melden sollst.
Und wenn da steht, du sollst nach Möglichkeit Bilder und Videos mitschicken, dann tu das.
dann tu alles andere in den Report, was gefordert ist und merke an, dass du auch noch Bilder hättest, sie aber nicht hochladen kannst, da das gesperrt ist.
Das bringt nichts. Ich bekomme immer noch keine klare Rückmeldung, was an meinem Bericht fehlt. (Im POC)
Ich kann das Problem aber nicht nachvollziehen
... dann kenne ich keinen Software-Entwickler, der sich ernsthaft mit einem nicht nachvollziehbaren Problem beschäftigen wird.
Dann les gleich noch mal meine Frage. Da steht dass "ICH" nicht nachvollziehen konnte, warum mein Bericht über diese Schwachstelle nicht vollständig sein sollte.
Oder erklär was du gemeint hast verstanden zu haben
Hast recht, habe den Satz falsch verstanden. Entschuldige bitte die vorschnelle Antwort. Löschung beantragt.
Die Links führen mich exakt zu der Website, auf der ich das auch gemeldet habe. Auf der Website steht dann wiederum, dass ich keine Fotos verwenden soll, und dass sie diese Funktion deaktiviert wurde