Windows 11存在高危漏洞,这点微软已经证实了。
计算机安全组织Cisco Talos发现了一个新的漏洞,包括Windows 11和Windows Server 2022在内的所有Windows版本均受影响。该漏洞存在于Windows安装程序中,允许攻击者提升自己的权限成为管理员。
利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。
此前,微软的安全研究员Abdelhamid Naceri向微软报告了这个漏洞,据说在11月9日用CVE-2021-41379修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。
微软将该漏洞评为"中等严重程度",基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。
附文:最多缩水90% 安全研究人员对微软漏洞赏金感到失望
部分安全研究人员指出,微软正大幅削减漏洞赏金的金额,最多缩水 90%。例如,去年马库斯·哈钦斯(网名 MalwareTech)说,他的一个零日发现的漏洞赏金价值被减少到 1000 美元,而之前是 10000 美元。
最近一位 Hyper-V 研究人员和 Twitter 用户 @rthhh17 表示,微软的奖励计划认为他的 Hyper-V 远程代码执行(RCE)漏洞只值 5000 美元。从他的Twitter上看,在研究过程中,应该能获得更高的金额。
最近的一个例子是 Windows 安全研究员 Abdelhamid Naceri,他向 BleepingComputer 透露由于在赏金上的“挫败感”,他最终决定公开披露一个新的零日漏洞。
Naceri 解释说:“自 2020 年 4 月以来,微软的赏金已经被取消了,如果 MSFT 没有决定降低这些赏金,我真的不会这么做”。
微信扫一扫 
支付宝扫一扫 
评论列表(8条)
连赏金都没有了,微软真的那么抠门吗
一直想被黑客黑,从来没碰到过,有哪个黑客能够换了我的桌面,写下xxx到此一游么?!
首先你得有足够大的价值 或者足够大的影响力
首先需要足够的存在感
不影响我正常上网看小姐姐
哎,被太多人盯上了,就这个漏洞而言,貌似无解啊,包括其他任何系统都有很大可能存在这样的漏洞。系统安装过程中建立管理员账户都是这个流程,那么怎么可能逃避掉这个漏洞呢?安装完成马上封禁掉这个建立账号的文件?
我们的系统很安全
我们的系统很安全之何必要抓虫
我们的系统很安全之虫子不值钱
微软做大做强了,修复漏洞随便了?