Tin Tức Chính sách tiền thưởng hẹp hòi của Microsoft làm cho nhà nghiên cứu công khai lỗ hổng Zero-day ra cộng đồng

Quảng Cáo

23/6/21
178
50
67
♊︎
Xu
1,525
Lỗ hổng Zero-day là một trong những loại lỗ hổng đáng quan ngại nhất trong lịch sử phát triển phần mềm. Và Microsoft không phải là ngoại lệ khi nhà nghiên cứu phát hiện lỗ hổng này, đáng nói là, vì chính sách tiền thưởng hẹp hòi của Microsoft, nhà nghiên cứu bảo mật quyết định công khai lỗ hổng trên cho cộng đồng.


Các nhà bảo mật vừa mới phát hiện ra một phương pháp khai thác lỗ hổng zero-day mới cho phép hacker có thể chiếm quyền quản trị cục bộ trên Windows. Một nhà nghiên cứu đã tiết lộ công khai một lỗ hổng cho phép bất kỳ ai có đặc quyền cơ bản có thể mở command prompt (cửa sổ dòng lệnh) với quyền truy cập mức độ HỆ THỐNG.

Với lỗ hổng bảo mật này, các tác nhân đe dọa có thể thông qua command prompt để chỉnh sửa quyền từ cơ bản thành quản trị viên của kẻ tấn công và cấp nhiều quyền truy cập hơn những gì mà hệ thống đã giao. Đáng nói rằng, điều này sẽ khiến cho kẻ tấn công có quyền truy cập vào hệ thống chạy Windows 10, Windows 11 và Windows Server 2022.

Việc khai thác được phát hiện bởi nhà nghiên cứu về bảo mật Abdelhamid Naceri và được công bố trên GitHub. Để xác minh vấn đề, BleepingComputer đã thử nghiệm nó trên máy tính Windows chạy Windows 10 21H1 bản 19043.1348 và nhận thấy rằng "chỉ mất vài giây để có được đặc quyền HỆ THỐNG từ tài khoản thử nghiệm có đặc quyền cơ bản."

Khi được BleepingComputer hỏi tại sao Naceri lại chọn công khai lỗ hổng thay vì báo cáo nó cho chương trình bug-bounty của Microsoft, Naceri đã trích dẫn rằng phần tiền thưởng đã bị giảm đi rất nhiều đối với các lỗ hổng mức độ nghiêm trọng. “Chương trình bug-bounty Microsoft như một đống rác rồi kể từ tháng 4 năm 2020, tôi thực sự sẽ không làm điều này nếu Microsoft không ra quyết định 'như đi vào lòng đất' trên,” Naceri giải thích.

Vì đây là một lỗ hổng khai thác ở mức cục bộ, hacker sẽ cần phải trực tiếp truy cập vào máy tính của bạn thì mới có thể thao tác được. Tuy nhiên, như đã đề cập ở trên, chỉ mất vài giây để chúng có được quyền quản trị hệ thống. Do đó, người dùng cần hết sức lưu ý và theo dõi các bản cập nhật để vá lỗ hổng này của Microsoft trong tương lai.


Tiền Minh Vy
Theo
How To Geek
 

Quảng Cáo

  • Từ khóa
    hacker microsoft tin tức windows zero-day
  • ITRUM.ORG

    Cộng đồng công nghệ dành cho giới trẻ tại Việt Nam.

    Thành viên trực tuyến

    Không có thành viên trực tuyến.

    Có thể bạn quan tâm

    Thống kê diễn đàn

    Chủ đề
    2,056
    Bài viết
    3,688
    Thành viên
    6,663
    Thành viên mới nhất
    jbminhtan

    Quảng Cáo

    Quảng Cáo

    Phát hiện AdBlock!

    Chúng tôi biết trình chặn quảng cáo làm rất tốt việc chặn quảng cáo, nhưng nó cũng chặn các tính năng hữu ích của trang web của chúng tôi. Để có trải nghiệm trang web tốt nhất, vui lòng tắt AdBlocker của bạn.