Microsoft “Açık” ya da “Hata” Ödül Programını Genişletti

Microsoft yazılımlarının açıklarının hacklenmesi ya da arızalanması gibi sürekli sıkıntılar yaratması, çeşitli kuruluşlarda da, Amerikan hükümetinde de tartışılan konular arasında. Çok yayılması ve ortak çalıştığı yazılımlar olması, sıkıntının büyümesine neden oluyor. Öyle ki bir sıkıntı yaşandığında çok sayıda kuruluş çöküyor ve büyük hasarlar meydana gelebiliyor. Buna yazılımda tedarik zinciri sıkıntısı deniliyor.

İşte şimdi Microsoft buna karşı harekete geçmiş gözüküyor. Hata bulma ödül programını genişletti. İlginç olan şu; sadece kendi yazılımları için değil, yazılımların entegre çalıştığı 3.parti yazılımlardaki hata bulmalarına da artık ödül vadediyor.

Microsoft Güvenlik araştırmacılarının, herhangi bir kritik güvenlik açığını buldukları için ödül kazanabilmeleri için hata ödül programını genişleterek, bulut sistemlerinin geniş bağımlılık zincirleri üzerine kurulu olduğu ve tedarik zinciri zafiyetlerinin önemli saldırı vektörleri olduğu gerçeğini kabul ediyor. Bu adım, hükümet baskısı, rekabet dinamikleri ve Microsoft’un bulut güvenliğine olan güveni yeniden inşa etme ihtiyacı sonucunda doğdu. Bu, büyük bir teknoloji şirketinin bugüne kadarki en önemli hata ödül programı politikası değişikliklerinden biri olarak değerlendiriliyor.

Yeni Ödül Programında Neler Var?

Microsoft’un bu ay (Aralık 2025) genişlettiği “Çevrimiçi Hizmetler Hata Ödül Programı”nda yeni kurallara göre, Microsoft’un çevrimiçi hizmetlerini etkileyen herhangi bir –3.parti kodunda bile olsa– kritik güvenlik açığını bulan artık ödül almaya hak kazanıyor. Güvenlik açıklarının arancağı alanlar şöyle sıralanıyor :

• • açık kaynak bileşenleri
  • Microsoft hizmetlerine gömülü üçüncü taraf kütüphaneleri
  • ticari satıcı kodu
  • Azure, M365, Microsoft Entra, Defender, GitHub vb. tarafından kullanılan tedarik zinciri bağımlılıkları

Bu, satıcının yalnızca kendi kodunda bulunan güvenlik açıklarına ödül vermesinden farklılaşan bir hata ödül sistemi.

Microsoft neden ödül kapsamını genişletti?

A) Artan Yazılım Tedarik Zinciri Riskleri : Dünya, üçüncü taraf bileşenlerdeki güvenlik açıkları nedeniyle büyük olaylara tanık oldu:

• SolarWinds (2020)
• Log4Shell (Log4j, 2021)
• MOVEit (2023)
• XZ Utils arka kapı girişimi (2024)

Tüm vakalarda, saldırganlar alt hizmetleri tehlikeye atmak için üçüncü taraf veya üst düzey yazılımları kullandı. Microsoft, binlerce üst düzey bileşene bağımlıdır. Microsoft, ekosistemini etkileyen üçüncü taraf güvenlik açıkları için ödül ödeyerek, tedarik zincirimiz = saldırı yüzeyimiz demiş oluyor.

B) Bulut platformlarını hedef alan saldırıların artması :Tehdit aktörleri giderek aşağıdakileri daha çok hedefliyor:

• Azure kimlik yığınları
• çok kiracılı bulut bileşenleri
• orkestrasyon araçları
• konteyner çalışma ortamları
• sunucusuz ortamlar

Üçüncü taraf zafiyetleri genellikle giriş noktaları durumunda.

C) CISA’nın Yazılım Malzeme Listesi (SBOM) hareketine uyum sağlama :Hükümetler (özellikle ABD), büyük satıcılar için SBOM şeffaflığını zorluyor. Üçüncü taraf kusurları için ödeme yaparak Microsoft kendini şu şekilde konumlandırıyor:

• küresel tedarik zinciri güvenlik beklentilerine uyumlu
• bulut hizmetlerini güçlendirmede proaktif
• CISA, FBI, NSA, İngiltere NCSC ve AB ajanslarıyla iş birliği içinde

D) Google ve Apple hata ödüllerine rekabetçi yanıt :Google ve Apple, bulut ve işletim sistemi güvenlik açıkları için yüksek ödüller ödüyor. Microsoft, bulutla ilgili çeşitli olaylardan sonra güvenlik konusunda piyasa güvenini yeniden kazanmak istiyor.

Şu anda hangi güvenlik açıkları ödül almaya hak kazanıyor?

Daha önce uygun olanlar:

• Microsoft’un kendi bulut hizmeti kodundaki hatalar
• Microsoft tarafından tasarlanmış bileşenlerdeki yanlış yapılandırmalar veya mantık hataları

Artık uygun olanlar:

Microsoft hizmetleri tarafından kullanılan HERHANGİ bir üst veya üçüncü taraf bileşenindeki kritik güvenlik açıkları. Örneğin :

• Azure işlevleri içinde kullanılan üçüncü taraf bir YAML ayrıştırıcısında uzaktan kod yürütme hatası
• Microsoft kimlik sistemleri tarafından kullanılan açık kaynaklı bir kütüphanede seri hale getirme hatası
• Üçüncü taraf bir şifreleme modülünde bellek bozulması hatası
• Microsoft bulut ortamlarıyla entegre edilmiş konteyner çalışma zamanlarında sanal alandan kaçış hatası
• Azure veya M365’i tehlikeye atan herhangi bir tedarik zinciri bileşeni

Bu, tehdit avlama yüzeyini önemli ölçüde genişletecek ve araştırmacıları bağımlılık zincirlerini incelemeye teşvik edecek.

Ödül Seviyeleri (Araştırmacıların Kazanabileceği Miktar)

Microsoft, kritik üçüncü taraf güvenlik açıkları için ödeme seviyelerinin, en yüksek seviye bulut ödülleriyle uyumlu olacağını belirtiyor ve bu ödüller için limitleri şöyle açıkladı.

• Kritik bulut güvenlik açıkları için 250.000 dolara kadar
• Yüksek önem dereceli tedarik zinciri sorunları için 20.000-100.000 dolar
• Gerçek dünyadaki istismar edilebilirlik veya kiracı kaçış yolları için bonus çarpanları

Microsoft’un Bugüne Kadar ki Önemli Tedarik Zinciri Sorunları

• SolarWinds güvenliğinin ihlal edilmesi ve dahili kaynak kod hırsızlığı
• Azure ve Microsoft hizmetlerini etkileyen Log4j küresel krizi
• Dahili imzalama anahtarı yönetimindeki yanlışlıklar nedeniyle ortaya çıkan Storm-0558 token sahteciliği olayı
• 2024’teki APT29 ihlali, kaynak kodunu ve bulut tasarımını ifşa etti
• Zayıf SBOM uygulamaları ve şeffaf olmayan bağımlılık zincirleri
• Azure içindeki yetersiz korunan Linux ve açık kaynak bileşenleri
• Tekrar tekrar istismar edilen aşırı merkezileştirilmiş kimlik altyapısı
• Yetersiz günlük kaydı ve yetersiz güvenlik kültürü

Bu sorunlar bir araya geldiğinde, Microsoft’un bulut ekosisteminin yetersiz tarihsel tedarik zinciri disipliniyle kritik bir küresel bağımlılık haline geldiğini ve bunun da hükümet ve sektör tarafından artan incelemeye yol açtığını gösteriyor. Bu sorunları ve nelere yol açtığını yarın ki yazımızda daha geniş ele alacağız.

Microsoft’un Ödülü Genişletmesi Neden Önemli?

1- Microsoft, en büyük siber risklerin “bağımlılıklardan” kaynaklandığını kabul ediyor :Günümüz bulut platformları şunlardan oluşuyor:

• %70’ten fazla açık kaynak bileşen
• Yüzlerce kütüphane, çalışma zamanı, yorumlayıcı
• Üçüncü taraf ticari entegrasyonlar
• Konteyner ve orkestrasyon katmanları
• Kimlik aracı modülleri
• Tek bir zayıf bağlantı bile kırılırsa, saldırganlar tüm bulut ekosistemlerine sızabilir.

Bu hamle Microsoft’un şu mesajı veriyor: “Bağımlılık yığınımızdaki her yerdeki hatalar için ödeme yapacağız.”

2) Bu, sektör için bir paradigma değişikliği :Tarihsel olarak, satıcılar yazmadıkları kodlar için ödül ödemezlerdi. Microsoft bunu normalleştirirse,

• Google, AWS, Oracle, IBM, SAP’nin de aynı yolu izlemesi için baskı oluşabilir.
• Açık kaynak geliştiricileri görünürlük ve destek kazanır.
• Güvenlik araştırmacıları bağımlılık zincirlerini daha ciddi bir şekilde denetleyecektir.
• Bu, küresel yazılım tedarik zinciri dayanıklılığını önemli ölçüde artırabilir.

3) Son bulut güvenliği başarısızlıklarından sonra güveni güçlendiriyor : Microsoft yıllardır yazılımlar nedeniyle eleştiriliyor. Bir kaç olayı hatırlatalım.

• SolarWinds krizi
• Çin bağlantılı e-posta ihlalleri
• Azure Active Directory kimlik doğrulama hataları
• Bulut belirteci yanlış yapılandırmaları

Kapsamlı bir hata ödül programı genişleterek Microsoft, “Bulutumuzun her katmanını güvence altına almak için ödeme yapmaya hazırız” mesajı veriyor.

4) Beyaz Saray’ın yeni siber güvenlik direktiflerini destekliyor

Biden ve Trump yönetimleri her ikisi de

• sıfır güven
• SBOM
• bulut platformu sorumluluğu
• tedarik zinciri risk yönetimi

konusuna önem verdiğini açıkladı. Microsoft, ortaya çıkan düzenleyici beklentilerine uymaya çalışıyor.

Bundan sonra ne olacak?

Microsoft’un tedarik zincirini hedef alan güvenlik araştırmalarında büyük bir artış bekleniyor. Üst düzey kütüphanelerde daha fazla güvenlik açığı bildirilmesi (ekosistem için iyi) olası. Bulut testlerinde daha yüksek ödemeler ve daha fazla katılım olabilir.

Microsoft, tersine bulut bileşenleri sağlayan tüm satıcılardan SBOM ve güvenlik garantileri isteyebilir. Açık kaynak bağımlılıklarının daha sıkı bir şekilde incelenmesi gündeme gelecek. İç tedarik zinciri tarama araçlarına yapılan yatırımların artması bekleniyor.

Uzun vadede, sektör değişebilir. Bulut sağlayıcıları üçüncü taraf güvenlik açıkları için ödül ödemeye başlayabilir.Bağımlılık zinciri şeffaflığı için küresel standartlar getirelebilir. Felaket niteliğindeki tedarik zinciri saldırılarında (SolarWinds, Log4Shell türleri) azalma meydana gelebilir.