Разочарованный исследователь безопасности обнаруживает ошибку нулевого дня в Windows и обвиняет Microsoft

Дядя Влад

В Windows появилась новая проблема нулевого дня , и на этот раз она была раскрыта общественности разгневанным исследователем безопасности. Уязвимость связана с тем, что пользователи используют командную строку с неавторизованными системными привилегиями для обмена опасным контентом через сеть.

Согласно отчету Bleeping Computer , Абдельхамид Насери, исследователь безопасности, обнаруживший эту ошибку, разочарован тем, что Microsoft выплачивает выплаты по программе bug bounty. По всей видимости, вознаграждения за последние два года значительно снизились. Насери не одинок. В 2020 году один пользователь Twitter сообщил, что за уязвимости нулевого дня больше не нужно платить 10 000 долларов, а теперь они оцениваются в 1 000 долларов. Ранее в этом месяце другой пользователь Twitter сообщил, что награды могут быть уменьшены в любой момент.

Синий экран сбоя ошибки Windows 11.

Microsoft, по-видимому, исправила проблему нулевого дня в последнем раунде обновлений «Patch Tuesday», но оставила еще одну не исправленную и неправильно исправленную. Насери обошел патч и нашел более мощный вариант. Уязвимость нулевого дня затрагивает все поддерживаемые версии Windows, включая Windows 8.1, Windows 10 и Windows 11.

«Этот вариант был обнаружен при анализе патча CVE-2021-41379. Однако ошибка не была исправлена ​​правильно, вместо того, чтобы сбросить обход. Я решил отказаться от этого варианта, поскольку он более мощный, чем исходный », – пояснил Насери в сообщении на GitHub .

Его доказательство концепции находится на GitHub, и Bleeping Computer протестировал эксплойт и запустил его. Согласно публикации, он также используется в дикой природе с помощью вредоносных программ.

В своем заявлении представитель Microsoft сказал, что он сделает все необходимое для обеспечения безопасности и защиты своих клиентов. Компания также упомянула, что ей известно о раскрытии последней уязвимости нулевого дня. В нем упоминалось, что злоумышленники уже должны иметь доступ и возможность запускать код на машине целевой жертвы, чтобы он работал.

С праздником Благодарения в США и тем фактом, что хакеру потребуется физический доступ к ПК, может пройти некоторое время, прежде чем будет выпущен патч. Microsoft обычно выпускает исправления во второй вторник каждого месяца, известный как «вторник исправлений». Он также сначала тестирует исправления ошибок с помощью инсайдеров Windows. Исправление может появиться уже 14 декабря.