- Un chercheur en sécurité révèle publiquement une vulnérabilité sur Windows 11.
- La raison de cette divulgation était due à la frustration suscitée par le faible paiement du programme de bug bounty.
- La vulnérabilité a été corrigée par Microsoft, mais le chercheur trouve une solution de contournement à un ensemble de sécurité plus sévère.
Un chercheur en sécurité, Abdelhamid Naceri, a divulgué publiquement une vulnérabilité qui donne des privilèges système à un attaquant sur Windows 11, 10 et Windows Server pour exécuter des commandes élevées à partir du niveau de privilège standard.
Bien que Microsoft ait résolu ce problème avec la mise à jour de novembre 2021 (CVE-2021-41379), le chercheur en sécurité a révélé la vulnérabilité après avoir trouvé un moyen de contourner le correctif d'un exploit non corrigé encore plus grave, par frustration face au Programme Microsoft Bug Bounty. Le programme permet aux chercheurs en sécurité et à pratiquement n'importe qui de gagner de l'argent en trouvant et en signalant des bogues dans le système d'exploitation.
Selon Naceri, le géant du logiciel payait environ 10 000 dollars pour un exploit zero-day. Cependant, depuis avril 2020, le paiement a diminué au point que signaler un exploit aujourd'hui ne vous rapportera plus que 1 000 $. « Grâce au nouveau programme de bug bounty de Microsoft, l'un de mes zerodays est passé de 10 000 $ à 1 000 $ » tweets de @MalwareTech lit.
« Cette variante a été découverte lors de l’analyse du patch CVE-2021-41379. Le bug n'a pas été corrigé correctement. Cependant, au lieu d’abandonner le contournement. J’ai choisi d’abandonner cette variante car elle est plus puissante que la version originale. Naceri note également dans son article sur la page GitHub que cette personne présente un exploit de preuve de concept fonctionnel pour le nouveau zero-day.
BipOrdinateur, le site qui a signalé ce cas pour la première fois, a testé l'exploit avec succès sur une machine Windows 11 avec les correctifs les plus récents disponibles via Windows Update. '
Bien que l'on ne sache pas pourquoi Microsoft paie moins pour les primes, il se peut qu'il doive le faire car nous avons constaté de plus en plus de bugs ces dernières années lors des mises à jour de fonctionnalités et des mises à jour cumulatives. En conséquence, l'entreprise constate une augmentation des rapports que le budget établi ne permet pas de couvrir. Ou encore, le géant du logiciel souhaite que moins de personnes tentent de s'introduire dans Windows.
Pourquoi vous pouvez faire confiance à Winfix.net
Je combine les connaissances d'experts avec des conseils centrés sur l'utilisateur, des recherches et des tests rigoureux pour garantir que vous recevez des guides techniques fiables et faciles à suivre. Examinez le processus de publication.