微软又双叒被曝光漏洞啦?

发表于:2021-11-29 09:10

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:咪贝2019    来源:新浪科技

#
漏洞
#
微软
分享:
  2021年 11 月22日,微软修复了一个“Windows 安装程序特权提升漏洞”漏洞,该漏洞编号为 CVE-2021-41379。安全研究员 Abdelhamid Naceri在检查该漏洞修复情况后,发现了一个补丁绕过漏洞和一个更强大的新零日特权提升漏洞。并在推特公开披露了后者的漏洞利用代码项目,该漏洞可在 Windows 10、Windows 11 和 Windows Server系统上直接提权到system最高权限。
  Naceri 在GitHub上发布了新的0day漏洞的概念验证,并表示该漏洞适用于所有受支持的 Windows 版本,且目前暂未被修复。使用此漏洞,只需几秒就可从具有“标准”权限的测试帐户获得 SYSTEM 权限。
  将作者公开的项目编译成x86版本,直接双击exe,可以在最新版Windows 10 20H2,Windows 10 21H1,Windows 11系统上直接提权到system最高权限。
  Naceri表示,他公开披露该零日漏洞是因为微软自2020年4月以来减少了其漏洞赏金计划的支出,在2020年4月以前,该类型的漏洞价值20000刀,而削减之后变成2000刀。Naceri还警告称,不建议通过尝试修补二进制文件来修复该漏洞,因为它可能会破坏安装程序。
  如果这家软件巨头没有下调赏金价值,以 Abdelhamid Naceri 为代表的安全研究人员,也不会怒而曝光零日漏洞。其他安全研究人员附和道:Naceri 披露的漏洞,很容易让普通用户提取并获得 SYSTEM 系统权限。更让人感到震惊的是,该漏洞利用是基于微软的补丁而开发的。
  目前的最佳解决方法是等待微软发布安全补丁。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号