Издание Bleeping Computer сообщило, что ИБ-исследователь опубликовал эксплоит для новой уязвимости нулевого дня, которая может использоваться для локального повышения привилегий во всех поддерживаемых версиях Windows, включая Windows 10, Windows 11 и Windows Server 2022.
Журналисты пишут, что уже опробовали эксплоит в действии и смогли открыть командную строку с правами SYSTEM, используя учетную запись с правами уровня Standard.
В этом месяце, в рамках «вторника обновлений», Microsoft устранила уязвимость CVE-2021-41379, связанную с повышением привилегий посредством Windows Installer. Эта проблема была обнаружена ИБ-исследователем Абдельхамидом Насери (Abdelhamid Naceri), который теперь сообщил о том, что патч можно обойти, а уязвимость после этого трансформируется в более серьезную проблему.
Насери уже опубликовал на GitHub PoC-эксплоит для новой 0-day проблемы, подчеркнув, что баг опасен для всех поддерживаемых версий ОС. Насери объясняет, что, можно настроить групповые политики таким образом, чтобы пользователи с правами уровня Standard не могли выполнять операции установщика MSI, однако новая уязвимость позволяет обойти эту политику.
«Этот вариант [уязвимости] был обнаружен во время анализа патча для CVE-2021-4137: ошибка была исправлена некорректно и напротив предоставила возможность обхода [исправления]», — пишет эксперт.
Когда журналисты поинтересовались у Насери, почему он публично раскрыл информацию о серьезной 0-day уязвимости, тот ответил, что разочарован уменьшением размера вознаграждений в bug bounty программу Microsoft.
«Bug bounty Microsoft испортилась в апреле 2020 года. Я правда не стал бы этого делать, если бы MSFT не приняла решение о понижении выплат», — пояснил специалист.