Pesquisador de segurança frustrado revela bug de dia zero do Windows e culpa Microsoft

Há um novo problema de dia zero no Windows e, desta vez, o bug foi divulgado ao público por um pesquisador de segurança irritado. A vulnerabilidade está relacionada a usuários que utilizam o prompt de comando com privilégios de sistema não autorizados para compartilhar conteúdo perigoso pela rede.

De acordo com um relatório da Bleeping Computer , Abdelhamid Naceri, o pesquisador de segurança que revelou o bug, está frustrado com a Microsoft sobre os pagamentos do programa bug bounty. As recompensas aparentemente foram reduzidas significativamente nos últimos dois anos. Naceri também não está sozinho. Um usuário do Twitter relatou em 2020 que as vulnerabilidades de dia zero não pagam mais US $ 10.000 e agora estão avaliadas em US $ 1.000. No início deste mês, outro usuário do Twitter relatou que as recompensas podem ser reduzidas a qualquer momento.

Tela azul de travamento de erro do Windows 11.

A Microsoft aparentemente corrigiu um problema de dia zero com a última rodada de atualizações “Patch Tuesday”, mas deixou outra sem correção e corrigida incorretamente. Naceri contornou o patch e encontrou uma variante mais poderosa. A vulnerabilidade de dia zero afeta todas as versões com suporte do Windows, incluindo Windows 8.1, Windows 10 e Windows 11.

“Esta variante foi descoberta durante a análise do patch CVE-2021-41379. O bug não foi corrigido corretamente, no entanto, em vez de descartar o bypass. Eu escolhi realmente descartar essa variante, pois é mais poderosa do que a original ”, explicou Naceri em uma postagem no GitHub .

Sua prova de conceito está no GitHub, e Bleeping Computer testou o exploit e o executou. Ele também está sendo explorado com malware, de acordo com a publicação.

Em nota, um porta-voz da Microsoft disse que fará o que for necessário para manter seus clientes seguros e protegidos. A empresa também mencionou que está ciente da divulgação da última vulnerabilidade de dia zero. Ele mencionou que os invasores já devem ter acesso e a capacidade de executar código na máquina da vítima para que funcione.

Com o feriado de Ação de Graças nos Estados Unidos e o fato de que um hacker precisaria de acesso físico a um PC, pode demorar um pouco até que um patch seja lançado. A Microsoft geralmente emite correções na segunda terça-feira de cada mês, conhecido como “Patch Tuesday”. Ele também testa primeiro as correções de bugs com o Windows Insiders. Uma solução pode vir em 14 de dezembro.