- Güvenlik araştırmacısı, Windows 11'deki güvenlik açığını kamuya açıklar.
- Açıklamanın nedeni, hata ödül programındaki düşük ödemenin yarattığı hayal kırıklığıydı.
- Güvenlik açığı Microsoft tarafından düzeltildi, ancak araştırmacı daha ciddi bir güvenlik bütünü için bir geçici çözüm buldu.
Bir güvenlik araştırmacısı olan Abdelhamid Naceri, Windows 11 , 10 ve Windows Server'da bir saldırgana standart ayrıcalık düzeyinden yükseltilmiş komutları çalıştırması için sistem ayrıcalıkları veren bir güvenlik açığını kamuya açıkladı .
Microsoft, bu sorunu Kasım 2021 güncellemesiyle ( CVE-2021-41379 ) düzeltmiş olsa da, güvenlik araştırmacısı, Microsoft Bug Bounty programındaki sıkıntıdan kaynaklanan daha ciddi bir yama uygulanmamış açıklardan yararlanmanın bir yolunu bulduktan sonra güvenlik açığını açıkladı . Program, güvenlik araştırmacılarının ve neredeyse herkesin işletim sistemindeki hataları bulup bildirerek para kazanmasını sağlar.
Naceri'ye göre, yazılım devi sıfır gün istismarı için yaklaşık 10.000 dolar ödüyordu. Ancak, Nisan 2020'den bu yana ödeme, bugün bir istismar bildirme noktasına kadar düşüyor, şimdi size sadece 1000$ kazandıracak. @MalwareTech'ten gelen tweet'lerde "Microsoft'un yeni hata ödül programı kapsamında sıfır günlerimden biri 10.000 $ değerinden 1.000 $ değerine çıktı" yazıyor .
"Bu varyant, CVE-2021-41379 yamasının analizi sırasında keşfedildi. Hata doğru şekilde düzeltilmedi. Ancak, bypass'ı bırakmak yerine. Orijinalinden daha güçlü olduğu için bu varyantı bırakmayı seçtim.” Naceri, GitHub sayfasındaki yazısında, bu kişinin yeni sıfır gün için çalışan bir kavram kanıtı kanıtı gösterdiğini de belirtiyor.
Bu durumu ilk bildiren site olan BleepingComputer , Windows Update aracılığıyla kullanılabilen en güncel yamalarla bir Windows 11 makinesinde bu açığı başarıyla test etti. '
Microsoft'un ödüller için neden daha az ödeme yaptığı açık olmasa da, son yıllarda özellik güncellemeleri ve toplu güncellemeler sırasında giderek daha fazla hata gördüğümüz için bunu yapmak zorunda kalabilir. Sonuç olarak şirket, belirlenen bütçenin karşılayamayacağı raporlarında bir artış görüyor. Veya yazılım devinin Windows'a girmeye çalışan daha az insan istediği durum olabilir.