Un chercheur en sécurité frustré révèle un bug du jour zéro de Windows et accuse Microsoft
Il y a un nouveau problème zero-day dans Windows, et cette fois le bogue a été divulgué au public par un chercheur en sécurité en colère. La vulnérabilité concerne les utilisateurs utilisant l'invite de commande avec des privilèges système non autorisés pour partager du contenu dangereux via le réseau.
Selon un rapport de Bleeping Computer , Abdelhamid Naceri, le chercheur en sécurité qui a divulgué ce bogue, est frustré par Microsoft au sujet des paiements du programme de prime aux bogues. Les primes ont apparemment été considérablement réduites au cours des deux dernières années. Naceri n'est pas seule non plus. Un utilisateur de Twitter a signalé en 2020 que les vulnérabilités zero-day ne paient plus 10 000 $ et sont maintenant évaluées à 1 000 $. Plus tôt ce mois-ci, un autre utilisateur de Twitter a signalé que les primes peuvent être réduites à tout moment.
Microsoft a apparemment corrigé un problème de jour zéro avec la dernière série de mises à jour « Patch Tuesday », mais en a laissé un autre non corrigé et incorrectement corrigé. Naceri a contourné le patch et a trouvé une variante plus puissante. La vulnérabilité zero-day affecte toutes les versions prises en charge de Windows, y compris Windows 8.1, Windows 10 et Windows 11.
« Cette variante a été découverte lors de l'analyse du patch CVE-2021-41379. Le bogue n'a pas été corrigé correctement, cependant, au lieu de supprimer le contournement. J'ai choisi d'abandonner cette variante car elle est plus puissante que l'originale », a expliqué Naceri dans un article sur GitHub .
Sa preuve de concept est sur GitHub, et Bleeping Computer a testé l'exploit et l'a exécuté. Il est également exploité à l'état sauvage avec des logiciels malveillants, selon la publication.
Dans un communiqué, un porte-parole de Microsoft a déclaré qu'il ferait le nécessaire pour assurer la sécurité et la protection de ses clients. La société a également indiqué qu'elle était au courant de la divulgation de la dernière vulnérabilité zero-day. Il a mentionné que les attaquants doivent déjà avoir accès et avoir la possibilité d'exécuter du code sur la machine d'une victime cible pour que cela fonctionne.
Avec les vacances de Thanksgiving aux États-Unis et le fait qu'un pirate informatique aurait besoin d'un accès physique à un PC, il pourrait s'écouler un certain temps avant qu'un correctif ne soit publié. Microsoft publie généralement des correctifs le deuxième mardi de chaque mois, appelé « Patch Tuesday ». Il teste également d'abord les corrections de bogues avec Windows Insiders. Un correctif pourrait arriver dès le 14 décembre.