Nederlandse securitykampioen viel voor de gamification van Microsofts bughunt

Hoe kom je als securityonderzoeker op nummer een van Microsofts wereldwijde leaderboard voor het melden van kwetsbaarheden? Door gedrevenheid, slim gebruik van een gouden vondst die eigenlijk out-of-scope was en wat geluk. Chief hacker Vaisha Bernard van Eye Security vertelt Tweakers over zijn activiteiten in de avonduren.

Nederland is sinds januari een wereldkampioen rijker. Securityonderzoeker Vaisha Bernard eindigde als nummer één op de wereldwijde ranglijst van het Microsoft Security Response Center (MSRC) voor het vierde kwartaal van 2025, met een flink puntenverschil ten opzichte van de nummer twee. Bernard was via een ontdekte fout in portalsites van Microsoft meegesleurd in deze wedstrijd van bughunters. "Ja, ik ben gevallen voor de gamification", geeft hij toe.

Posities in het leaderboard van Microsofts securitycentrum zijn gebaseerd op toegekende punten. Securityonderzoekers krijgen die punten voor kwetsbaarheden die ze bij Microsoft melden. Daarbij spelen verschillende factoren mee, zoals de aard, ernst en reikwijdte van een gemelde kwetsbaarheid. Alleen kwetsbaarheden met hoge impact leveren punten op. Originaliteit levert extra punten op: als anderen een kwetsbaarheid ook melden, daalt de waarde daarvan. Microsoft hanteert een rekensom voor deze variabelen. Bernard staat op nummer één met 1650 punten, de nummer twee moet het doen met 'slechts' 730 punten.

Per toeval

De Nederlandse hacker kwam onbedoeld terecht in de internationale strijd om de eer bovenaan te staan in deze ranglijst. Hij ontdekte twee jaar terug een ongeautoriseerde ingang in het Microsoft-ecosysteem. Die ontdekking was per toeval, want hij zocht helemaal niet naar een kwetsbaarheid. De medeoprichter van het Nederlandse IT-beveiligingsbedrijf Eye Security wilde iets automatiseren, maar ontdekte dat daar geen api voor was. Dus ging hij via het web op zoek naar een ongedocumenteerde api.

Deze zoektocht leidde hem tot een race condition. Dit is een softwarefout waarbij meerdere processen toegang willen tot gedeelde bronnen en waarbij de timing niet goed valt te voorspellen. De uitkomst van deze race is bepalend voor het gedrag van het systeem. De uitkomst kan ook ongewenst gedrag zijn, waardoor dit een kwetsbaarheid wordt. Bernard ontdekte dat hij toegang had tot data van anderen. Dat meldde hij vervolgens bij Microsoft.

Zo kwam de Nederlandse securityonderzoeker in aanraking met het MSRC-leaderboard. De competitieve opzet en de spelelementen van dat bedrijfsprogramma voor het melden van beveiligingsproblemen trokken hem naar binnen. Gamification werkt, in dit geval dus. "Ik heb me toen voorgenomen dat ik in de top honderd wilde komen."

650.000 subdomeinen

Vanuit die startpositie en geïnspireerd door zijn initiële ontdekking stortte Bernard zich op het hackwerk. Hij ontdekte een onbedoelde inlogmogelijkheid op een eigen portal van Microsoft voor software-ingenieurs. De achterliggende kwetsbaarheid was een authenticatiefout in Microsofts toegangscontrolesysteem Entra. Kon deze misconfiguratie bij meer Microsoft-portals aanwezig zijn? Bernard had na een serieuze scan een lijst van 650.000 subdomeinen om aan de tand te voelen.

Dat indrukwekkende aantal subdomeinen stond niet gelijk aan 650.000 portals waar inloggen door onbevoegden mogelijk was. Slechts een klein deel was actief en had een openstaande webserver. Na schifting bleven er zo'n 700 portals over die een kwetsbare authenticatie via Entra hadden, dankzij 24 verschillende misconfiguraties. Dat lijkt een teleurstellend aantal, maar de mogelijkheden waren interessant en de securityimpact was serieus. Bernard meldde zijn bevindingen bij Microsoft en wachtte af.

Tussendoor gaf hij op securityconferentie Black Hat een presentatie over zijn uitpluizen van de subtiele verschillen tussen authenticatie en autorisatie. Zijn typische hackerinsteek was: "Wat zou er gebeuren als ik simpelweg inlogde op deze interne Microsoft-applicatie met mijn eigen Microsoft-account? Dat zou vast niet werken, toch?" Het bleek soms wel te werken, afhankelijk van omstandigheden, ofwel misconfiguraties.

Geen premie, maar wel punten

"In december kreeg ik een call van Microsoft: 'Heb jij de rules of engagement wel gelezen?'" Zijn ontdekking van een forse hoeveelheid kwetsbaarheden betrof intern gerichte portals van Microsoft. Die doelwitten zijn officieel out-of-scope voor het melden van kwetsbaarheden binnen bugbounty's. Daardoor kwalificeerde hij zich niet daarvoor en had hij geen recht op een beloning.

Tot zijn vreugde leverden de ontdekte, out-of-scope kwetsbaarheden hem wel punten op. Zijn notering in de ranglijst kreeg daarmee een flinke oppepper. Zwakke plekken zoals Bernard ontdekte zijn niet onbelangrijk. In zijn presentatie op Black Hat gaf hij aan dat hij via de authenticatiefouten niet alleen toegang had tot gevoelige data. Hij kon ook Copilot-beheer uitvoeren, een eigen Windows-versie bouwen, uitbetaling van zijn eigen bugbounty's goedkeuren en meer.

Bovendien zijn kwetsbaarheden niet per se makkelijk om te fixen, ook als het 'slechts' misconfiguraties zijn. De securityonderzoeker vertelt dat er technische maar ook juridische teams betrokken zijn bij het oplossen, die daar veel werk aan hebben. Dat werk door verschillende experts kost veel geld, 'soms wel een miljoen'.

'Leuke kerstbonus'

Na het belletje dat hij niet in aanmerking kwam voor uitbetaling van een premie kreeg hij nog wel een bedankje. Daarbij zat de cryptische boodschap dat er over twee weken meer duidelijk zou zijn. Na het verlopen van die periode kwam naar buiten dat Microsoft het beleid voor bugbounty's aanpaste. Het nieuwe beleid maakte Bernards ontdekkingen wel in scope en gold met terugwerkende kracht van negentig dagen. Dat leverde hem een interessante beloning op, waarvan hij de hoogte voor zichzelf houdt. "Het was een leuke kerstbonus", lacht de Nederlandse securityonderzoeker.

Daarna bleek in januari dat hij zijn doel om in de top honderd te komen ruimschoots had gehaald. Bernard was de nummer één, met ruime voorsprong op de nummer twee. Hij bereikte die positie door het rapporteren van 52 kritieke en belangrijke kwetsbaarheden in één kwartaal. Valt hij na het halen van dit doel nu in een gat? Nee, dat lijkt niet aan de orde voor Bernard, die gevallen is voor de gamification. Het 'securityspel' van Microsoft gaat dit kwartaal gewoon door.

Volgende doel

Hij voegt toe dat er natuurlijk nog het prestigepunt is van de jaarnotering. In 2025 eindigde hij op de eenentwintigste plaats, met 717,5 punten. De nummer één had 3655 punten. In tegenstelling tot bijvoorbeeld olympische sporten is dat niet per se een getal dat overtroffen moet worden. De teller staat bij elke nieuwe periode als het ware weer op nul. Toch zitten andere securityonderzoekers niet stil en ligt de lat hoog.

Kwetsbaarheden vinden in hetzelfde tempo als vorig kwartaal gaat niet lukken, erkent de Nederlandse securitykampioen. Zijn lijst van intern gerichte Microsoft-portals is opgebruikt. Er zijn wel meer doelwitten dan alleen portals voor clouddiensten. Bernard geeft aan dat het reverse-engineeren van binary's niet zijn sterke kant is. Daarmee valt dat specifieke securitygebied af, maar er blijft genoeg over.

Belangrijk bij hacken is inschatten wat eigenlijk de bedoeling is van software en dan uitvogelen hoe dat valt om te buigen of te omzeilen. Het vinden van kwetsbaarheden is soms meer een psychologische kwestie, legt hij uit. Wat zou de ontwikkelaar bedoeld hebben met bepaalde code of met een bepaalde opzet? Het antwoord vinden op die vraag kan securitypuzzels oplossen en je de game laten winnen.

_{Redactie: Jasper Bakker • Eindredactie: Monique van den Boomen}