Frustrierter Sicherheitsforscher enthüllt Zero-Day-Bug von Windows, macht Microsoft verantwortlich

Eskere Guru

Es gibt ein neues Zero-Day-Problem in Windows, und dieses Mal wurde der Fehler von einem wütenden Sicherheitsforscher der Öffentlichkeit bekannt gegeben. Die Sicherheitsanfälligkeit bezieht sich darauf, dass Benutzer die Eingabeaufforderung mit nicht autorisierten Systemberechtigungen nutzen, um gefährliche Inhalte über das Netzwerk zu teilen.

Laut einem Bericht von Bleeping Computer ist Abdelhamid Naceri, der Sicherheitsforscher, der diesen Fehler aufgedeckt hat, frustriert von Microsoft über die Auszahlungen aus dem Bug-Bounty-Programm. Die Prämien wurden in den letzten zwei Jahren offenbar deutlich herabgestuft. Naceri ist auch nicht allein. Ein Twitter-Nutzer berichtete im Jahr 2020, dass Zero-Day-Schwachstellen keine 10.000 US-Dollar mehr zahlen und jetzt einen Wert von 1.000 US-Dollar haben. Anfang dieses Monats berichtete ein anderer Twitter-Nutzer , dass Kopfgelder jederzeit reduziert werden können.

Windows 11 blauer Fehlerabsturzbildschirm.

Microsoft hat offenbar mit der neuesten Runde der „Patch Tuesday“-Updates ein Zero-Day-Problem behoben, ein weiteres jedoch ungepatcht und falsch behoben gelassen. Naceri hat den Patch umgangen und eine leistungsfähigere Variante gefunden. Die Zero-Day-Sicherheitslücke betrifft alle unterstützten Versionen von Windows, einschließlich Windows 8.1, Windows 10 und Windows 11.

„Diese Variante wurde während der Analyse des CVE-2021-41379-Patches entdeckt. Der Fehler wurde jedoch nicht korrekt behoben, anstatt den Bypass zu verwerfen. Ich habe mich entschieden, diese Variante tatsächlich fallen zu lassen, da sie leistungsstärker ist als die ursprüngliche“, erklärte Naceri in einem GitHub-Beitrag .

Sein Proof of Concept ist auf GitHub, und Bleeping Computer hat den Exploit getestet und ausgeführt. Laut der Veröffentlichung wird es auch in freier Wildbahn mit Malware ausgenutzt.

In einer Erklärung sagte ein Microsoft-Sprecher, dass das Unternehmen alles Notwendige tun werde, um die Sicherheit und den Schutz seiner Kunden zu gewährleisten. Das Unternehmen erwähnte auch, dass es sich der Offenlegung der neuesten Zero-Day-Schwachstelle bewusst ist. Darin wurde erwähnt, dass Angreifer bereits Zugriff und die Möglichkeit haben müssen, Code auf dem Computer des Zielopfers auszuführen, damit dieser funktioniert.

Mit dem Thanksgiving-Feiertag in den USA und der Tatsache, dass ein Hacker physischen Zugriff auf einen PC benötigt, könnte es eine Weile dauern, bis ein Patch veröffentlicht wird. Microsoft veröffentlicht normalerweise am zweiten Dienstag eines jeden Monats Fixes, dem sogenannten „Patch Tuesday“. Es testet auch zuerst Bugfixes mit Windows Insidern. Eine Lösung könnte bereits am 14. Dezember kommen.