Af Eskil Sørensen, 29/11/21
En researcher har publiceret en proof-of-concept exploitkode til en 0-dagssårbarhed i Windows, der påvirker alle understøttede versioner af Windows, inklusive Windows 10, Windows 11 og Windows Server 2022.
Det skriver Bleeping Computer.
Sårbarheden blev ganske vist rettet som en del af novembers måneds tirsdagspatch, men researcheren har afdækket, at rettelsen ikke er tilstrækkelig. Sårbarheden gør det muligt for en trusselsaktør med adgang til en kompromitteret enhed at hæve privilegierne. Med dette kan aktøren sprede sig inden for netværket.
Utilfreds dusørjæger
Afsløringen af exploit-koden kommer ifølge Bleeping Computer, fordi researcheren er utilfreds med Microsofts Bug Bounty-program.
I en udtalelse siger researcheren, at Microsofts belønning for fund af sårbarheder har været ’meget dårlige’ siden april 2020, og at sikkerhedsmiljøet ikke ville afsløre sårbarheder, hvis Microsoft tog situationen med honoreringen alvorligt. Tilsyneladende har den pågældende forsker tidligere været i stand til at tjene 10.000 dollar på 0-dagssårbarheder, men i denne omgang fik han kun 1.000 dollar, hvilket han selv bekendtgør på Twitter.
Microsoft siger til BleepingComputer, at de er opmærksomme på offentliggørelsen af sårbarheden, men nedtoner alvoren, eftersom en angriber skal have adgang og evnen til at køre kode på et offers maskine, for at sårbarheden kan udnyttes. Sårbarheden, der har id’et CVE-2021-41379, har da også fået 5,5 på CVSS-skalaen, men det har ifølge researchere ved Cisco Talos ikke forhindret trusselsaktører i at begynde at udnytte den.
Forventningen er, at Microsoft vil rette sårbarheden i en kommende Patch Tuesday, som næste gang er tirsdag den 14. december.