- Nhà nghiên cứu bảo mật tiết lộ công khai lỗ hổng trên Windows 11.
- Lý do tiết lộ là do thất vọng với khoản thanh toán thấp trong chương trình tiền thưởng lỗi.
- Lỗ hổng bảo mật đã được Microsoft khắc phục, nhưng nhà nghiên cứu tìm ra giải pháp cho một tổng thể bảo mật nghiêm ngặt hơn.
Một nhà nghiên cứu bảo mật, Abdelhamid Naceri, đã tiết lộ công khai một lỗ hổng cung cấp đặc quyền hệ thống cho kẻ tấn công trên Windows 11 , 10 và Windows Server để chạy các lệnh nâng cao từ mức đặc quyền tiêu chuẩn.
Mặc dù Microsoft đã khắc phục sự cố này với bản cập nhật tháng 11 năm 2021 ( CVE-2021-41379 ), nhà nghiên cứu bảo mật đã tiết lộ lỗ hổng bảo mật sau khi tìm ra cách khắc phục lỗi khai thác chưa được vá thậm chí nghiêm trọng hơn vì thất vọng với chương trình Microsoft Bug Bounty . Chương trình cho phép các nhà nghiên cứu bảo mật và hầu như bất kỳ ai kiếm tiền bằng cách tìm và báo cáo các lỗi trong hệ điều hành.
Theo Naceri, gã khổng lồ phần mềm từng phải trả khoảng 10000 đô la cho một đợt khai thác zero-day. Tuy nhiên, kể từ tháng 4 năm 2020, khoản thanh toán đã giảm xuống mức báo cáo một vụ khai thác ngày hôm nay, giờ đây bạn sẽ chỉ nhận được 1000 đô la. "Theo chương trình tiền thưởng lỗi mới của Microsoft, một trong những số tiền thưởng của tôi đã biến mất từ 10.000 đô la lên 1.000 đô la", các tweet từ @MalwareTech cho biết .
“Biến thể này được phát hiện trong quá trình phân tích bản vá CVE-2021-41379. Lỗi không được sửa một cách chính xác. Tuy nhiên, thay vì bỏ đường vòng. Tôi đã chọn thực sự bỏ biến thể này vì nó mạnh hơn biến thể gốc. " Naceri cũng ghi chú trong bài viết của anh ấy trên trang GitHub, nơi người này đang thể hiện một khai thác bằng chứng khái niệm đang hoạt động cho thời kỳ zero-day mới.
BleepingComputer , trang web đầu tiên báo cáo trường hợp này, đã thử nghiệm khai thác thành công trên máy Windows 11 với các bản vá cập nhật nhất có sẵn thông qua Windows Update. '
Mặc dù không rõ tại sao Microsoft lại trả ít tiền thưởng hơn, nhưng họ có thể phải làm điều đó vì chúng tôi đã thấy ngày càng nhiều lỗi trong những năm gần đây trong các bản cập nhật tính năng và cập nhật tích lũy. Kết quả là, công ty nhận thấy sự gia tăng trong các báo cáo mà ngân sách đã thiết lập sẽ không đủ chi trả. Hoặc có thể là trường hợp gã khổng lồ phần mềm muốn ít người cố gắng xâm nhập vào Windows hơn.