Frust über Microsoft: Zero Day-Exploit für Windows direkt öffentlich

Christian Kahle am 24.11.2021 09:08 Uhr
8 Kommentare
Security-Experten sind zunehmend unzufrieden mit Microsofts Bug Bounty-Praxis. Das führte jetzt dazu, dass die Informationen über eine aktuelle Zero Day-Sicherheitslücke in Windows-Installationen direkt öffentlich gemacht wurden.

Die zugrundeliegende Schwachstelle ist eigentlich nicht unbekannt. Microsoft hat für den Bug mit der Kennung CVE-2021-41379 beim letzten Patch Day eine Korrektur ausgeliefert. Entdeckt wurde der Fehler ursprünglich durch den Security-Forscher Abdelhamid Naceri. Nach einer Prüfung des Microsoft-Patches stellte sich heraus, dass man diesen umgehen und so sogar zu einem noch mächtigeren Angriff nutzen kann. Diese Informationen gab Naceri nun nicht an Microsoft weiter, sondern veröffentlichte sie direkt.

Der Sicherheitsforscher stellte einen funktionierenden Proof-of-Concept-Exploit bereit, den die Kollegen des US-Magazins Bleeping Computer erfolgreich vorführen können. Der Test erfolgte auf einer Windows 10 21H1-Installation. Neben Windows 10 sollen aber auch Windows 11 und der Windows Server 2022 betroffen sein. Bei dem Bug handelt es sich um eine Schwachstelle, die es Angreifern ermöglicht, aus einem normalen Nutzer-Account heraus System-Rechte zu bekommen, was einer vollständigen Übernahme des Ziel-Systems entspricht.

Windows: Bleeping Computer demonstriert Zero Day-Exploit
videoplayer

Microsoft belohnt schlechter

Für gewöhnlich hätte ein Sicherheitsforscher, der das Problem entdeckt, es an Microsoft gemeldet und nach einer gewissen Wartezeit und der Veröffentlichung eines weiteren Patches die zugehörigen Informationen veröffentlicht. So lief es wohl auch im vorliegenden Fall bis zum letzten Patch-Day. Nun aber entschied sich Naceri dafür, die neuen Informationen direkt öffentlich zu machen, was nun schnell dazu führen kann, dass Angreifer den Bug ausnutzen, ohne dass die Nutzer sich schützen könnten.

Er begründet dies damit, dass er zunehmend frustriert über Microsofts Umgang mit seinem Bug Bounty-Programm sei. Das Unternehmen habe die Belohnungen für die Meldung von Bugs seit dem April letzten Jahres immer weiter heruntergeschraubt. Für Security-Forscher, die viel Zeit und Wissen in die Suche nach sicherheitsrelevanten Fehlern stecken, bedeutet dies, dass ihre Arbeit immer schlechter honoriert wird. Auch andere haben sich bereits über die Entwicklung bei Microsoft beklagt.

Siehe auch:
8 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Folge WinFuture auf Google News
Verwandte Themen
Windows 11 Windows 10
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies