Microsoft Bug Bounty In Scope by Default

Microsoft hat sein Programm zur Offenlegung von Sicherheitslücken umstrukturiert, um Sicherheitsforscher zu belohnen, die kritische Fehler unabhängig vom Code-Eigentümer identifizieren, was eine Veränderung in der Herangehensweise des Unternehmens an koordinierte Sicherheitsforschung darstellt.

Tom Gallagher, VP Engineering beim Microsoft Security Response Center, gab die Änderung am 11. Dezember 2025 auf der Black Hat Europe bekannt. Im Rahmen des „In Scope by Default”-Ansatzes können Forscher nun Prämien für die Entdeckung von Schwachstellen in Abhängigkeiten von Drittanbietern, kommerzieller Software und Open-Source-Komponenten erhalten, die sich direkt auf die Online-Dienste von Microsoft auswirken.

Die Erweiterung schließt eine Lücke in traditionellen Prämienprogrammen, die die Teilnahmeberechtigung in der Regel auf proprietären Code beschränken. Microsoft bietet nun auch Prämien für Sicherheitslücken von Drittanbietern an, selbst wenn diese nicht von einem bestehenden Prämienprogramm abgedeckt sind, sofern die Schwachstelle direkte Auswirkungen auf die Infrastruktur von Microsoft hat.

„Sicherheitslücken treten häufig an den Schnittstellen auf, an denen Komponenten interagieren oder Abhängigkeiten bestehen”, erklärte Gallagher in der Ankündigung. Die Richtlinie berücksichtigt, dass Angreifer ausnutzbare Schwachstellen unabhängig von der Eigentümerschaft des Codes ins Visier nehmen.

Das neue Rahmenwerk umfasst standardmäßig automatisch alle Online-Dienste und Domänen von Microsoft, wobei neu veröffentlichte Dienste sofort nach ihrer Einführung in den Geltungsbereich aufgenommen werden. Bisher musste jedes Produkt oder jeder Dienst ausdrücklich in den Geltungsbereich des Prämienprogramms aufgenommen werden.

Im Jahr 2024 hat Microsoft über sein Bug-Bounty-Programm und das Live-Hacking-Event „Zero Day Quest“ über 17 Millionen US-Dollar ausgeschüttet. Das Unternehmen geht davon aus, dass die Erweiterung des Geltungsbereichs die Prämienberechtigung insbesondere in zwei Bereichen erhöhen wird: Microsoft-eigene Domänen und Cloud-Dienste sowie Code von Drittanbietern, einschließlich Open-Source-Komponenten.

Sicherheitsforscher, die an dem Programm teilnehmen, müssen die Regeln von Microsoft für verantwortungsbewusste Sicherheitsforschung befolgen, um Kundendaten und die Privatsphäre zu schützen. Sie reichen ihre Ergebnisse über das Portal für Sicherheitslücken von Microsoft zur Bewertung und koordinierten Offenlegung ein.

Die Änderung der Richtlinien steht im Einklang mit der umfassenderen Secure Future Initiative von Microsoft, die sich mit Sicherheitsherausforderungen in Cloud- und KI-gesteuerten Umgebungen befasst, in denen traditionelle Produktgrenzen an Relevanz verloren haben.

Microsoft has restructured its vulnerability disclosure program to reward security researchers who identify critical flaws regardless of code ownership, marking a shift in how the company approaches coordinated security research.

Tom Gallagher, VP Engineering at Microsoft Security Response Center, announced the policy change at Black Hat Europe on December 11, 2025. Under the „In Scope by Default“ approach, researchers can now receive bounty awards for discovering vulnerabilities in third-party dependencies, commercial software, and open-source components that directly impact Microsoft’s online services.

The expansion addresses a gap in traditional bounty programs, which typically limit eligibility to proprietary code. Microsoft will now offer rewards for third-party vulnerabilities even when no existing bounty program covers them, provided the flaw demonstrates direct impact on Microsoft’s infrastructure.

„Security vulnerabilities often emerge at the seams where components interact or where dependencies are involved,“ Gallagher stated in the announcement. The policy recognizes that threat actors target exploitable weaknesses without regard to code ownership.

The new framework automatically includes all Microsoft online services and domains by default, with newly released services entering scope immediately upon launch. Previously, each product or service required explicit inclusion in the bounty program scope.

In 2024, Microsoft distributed over $17 million through its bug bounty program and Zero Day Quest live-hacking event. The company expects the scope expansion to increase award eligibility, particularly in two areas: Microsoft-owned domains and cloud services, and third-party code including open-source components.

Security researchers participating in the program must follow Microsoft’s Rules of Engagement for Responsible Security Research to protect customer data and privacy. They submit findings through Microsoft’s vulnerability reporting portal for assessment and coordinated disclosure.

The policy change aligns with Microsoft’s broader Secure Future Initiative, which addresses security challenges in cloud and AI-driven environments where traditional product boundaries have diminished relevance.