欲求不満のセキュリティ研究者がWindowsのゼロデイバグを明らかにし、Microsoftを非難

Windowsには新しいゼロデイ問題があり、今回は怒っているセキュリティ研究者によってバグが一般に公開されました。この脆弱性は、ユーザーがコマンドプロンプトを無許可のシステム権限で利用して、ネットワークを介して危険なコンテンツを共有することに関連しています。

Bleeping Computerからの報告によると、このバグを開示したセキュリティ研究者のAbdelhamid Naceriは、バグ報奨金プログラムからの支払いについてマイクロソフトに不満を抱いています。過去2年間で、報奨金は大幅に格下げされたようです。ナセリも一人ではありません。あるTwitterユーザーは、2020年に、ゼロデイ脆弱性が10,000ドルを支払わなくなり、現在は1,000ドルと評価されていると報告しました。今月初め、 別のTwitterユーザーが、賞金はいつでも減額できると報告しました。

Windows11の青いエラークラッシュ画面。

Microsoftは、最新の「Patch Tuesday」アップデートでゼロデイ問題を修正したようですが、別のパッチが適用されておらず、誤って修正されています。ナセリはパッチをバイパスし、より強力なバリアントを見つけました。ゼロデイ脆弱性は、Windows 8.1、Windows 10、およびWindows 11を含む、サポートされているすべてのバージョンのWindowsに影響を及ぼします

「この亜種は、CVE-2021-41379パッチの分析中に発見されました。ただし、バイパスを削除する代わりに、バグは正しく修正されませんでした。このバリアントは元のバリアントよりも強力であるため、実際に削除することを選択しました」とNaceriはGitHubの投稿で説明しています

彼の概念実証はGitHubにあり、BleepingComputerはエクスプロイトをテストして実行しました。また、出版物によると、マルウェアによって実際に悪用されています。

声明の中で、マイクロソフトの広報担当者は、顧客の安全と保護を維持するために必要なことを行うと述べた。同社はまた、最新のゼロデイ脆弱性の開示を認識していると述べました。攻撃者は、標的の被害者のマシンでコードを実行するためのアクセス権と能力をすでに持っている必要があると述べています。

米国での感謝祭の休暇と、ハッカーがPCに物理的にアクセスする必要があるという事実により、パッチがリリースされるまでにはしばらく時間がかかる可能性があります。 Microsoftは通常、「パッチ火曜日」と呼ばれる毎月第2火曜日に修正プログラムを発行します。また、最初にWindowsInsiderでバグ修正をテストします。修正は12月14日から来る可能性があります。