Уязвимость нулевого дня в Windows 11 делает любого администратором

  • Исследователь безопасности публично раскрывает уязвимость в Windows 11.
  • Причина раскрытия информации заключалась в недовольстве низкими выплатами в программе вознаграждения за обнаружение ошибок.
  • Уязвимость была устранена Microsoft, но исследователь находит обходной путь к более серьезной безопасности.

Исследователь безопасности Абдельхамид Насери публично раскрыл уязвимость, которая дает системные привилегии злоумышленнику в Windows 11, 10 и Windows Server для запуска команд с повышенными правами со стандартного уровня привилегий.

Хотя Microsoft исправила эту проблему в ноябрьском обновлении 2021 года (CVE-2021-41379), исследователь безопасности раскрыл уязвимость после того, как нашел способ обойти исправление еще более серьезного неисправленного эксплойта из-за разочарования в Программа Microsoft Bug Bounty. Программа позволяет исследователям в области безопасности и практически любому человеку зарабатывать деньги, находя и сообщая об ошибках в операционной системе.

По словам Насери, софтверный гигант платил около 10 000 долларов за эксплойт нулевого дня. Однако с апреля 2020 года выплаты снижались до такой степени, что сегодня, сообщив об эксплойте, вы получите только 1000 долларов. «В соответствии с новой программой вознаграждения за обнаружение ошибок Microsoft стоимость одного из моих нулевых дней снизилась с 10 000 до 1 000 долларов», — говорится в сообщении. твиты от @MalwareTech читает.

«Этот вариант был обнаружен при анализе патча CVE-2021-41379. Ошибка не была исправлена ​​должным образом. Однако вместо того, чтобы отказаться от обхода. Я решил отказаться от этого варианта, поскольку он более мощный, чем исходный». Насери также отмечает в своей статье на странице GitHub, что этот человек демонстрирует рабочий эксплойт для проверки концепции нового нулевого дня.

BleepingКомпьютер, сайт, впервые сообщивший об этом случае, успешно протестировал эксплойт на компьютере с Windows 11 с самыми последними исправлениями, доступными через Центр обновления Windows. ‘

Хотя неясно, почему Microsoft платит меньше за награды, возможно, ей придется это сделать, потому что в последние годы мы наблюдаем все больше и больше ошибок во время обновлений функций и накопительных обновлений. В результате компания видит увеличение отчетов, которые не покрывает установленный бюджет. Или это может быть тот случай, когда софтверный гигант хочет, чтобы меньше людей пытались взломать Windows.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *