微软又双叒被曝光漏洞啦?

安全 漏洞
2021年 11 月22日,微软修复了一个“Windows 安装程序特权提升漏洞”漏洞,该漏洞编号为 CVE-2021-41379。

[[436876]]

2021年 11 月22日,微软修复了一个“Windows 安装程序特权提升漏洞”漏洞,该漏洞编号为 CVE-2021-41379。安全研究员 Abdelhamid Naceri在检查该漏洞修复情况后,发现了一个补丁绕过漏洞和一个更强大的新零日特权提升漏洞。并在推特公开披露了后者的漏洞利用代码项目,该漏洞可在 Windows 10、Windows 11 和 Windows Server系统上直接提权到system最高权限。

Naceri 在GitHub上发布了新的0day漏洞的概念验证,并表示该漏洞适用于所有受支持的 Windows 版本,且目前暂未被修复。使用此漏洞,只需几秒就可从具有“标准”权限的测试帐户获得 SYSTEM 权限。

将作者公开的项目编译成x86版本,直接双击exe,可以在最新版Windows 10 20H2,Windows 10 21H1,Windows 11系统上直接提权到system最高权限。

Naceri表示,他公开披露该零日漏洞是因为微软自2020年4月以来减少了其漏洞赏金计划的支出,在2020年4月以前,该类型的漏洞价值20000刀,而削减之后变成2000刀。Naceri还警告称,不建议通过尝试修补二进制文件来修复该漏洞,因为它可能会破坏安装程序。

如果这家软件巨头没有下调赏金价值,以 Abdelhamid Naceri 为代表的安全研究人员,也不会怒而曝光零日漏洞。其他安全研究人员附和道:Naceri 披露的漏洞,很容易让普通用户提取并获得 SYSTEM 系统权限。更让人感到震惊的是,该漏洞利用是基于微软的补丁而开发的。

目前的最佳解决方法是等待微软发布安全补丁。

 

 

责任编辑:赵宁宁 来源: 新浪科技
相关推荐

2017-03-13 16:58:05

戴尔

2019-06-06 15:44:21

人工智能寒冬AI

2023-05-17 18:38:58

宕机认证令牌

2021-10-30 19:01:17

磁盘字节文件

2018-11-08 17:57:22

华为

2017-11-21 10:13:11

微软打印机补丁

2019-06-29 14:39:28

Java开发代码

2023-05-29 09:42:39

ChatGPTAI

2024-04-03 15:41:53

服务器

2023-12-26 11:44:01

2019-01-06 15:51:51

春运车票网络安全网络购票

2018-08-29 14:00:45

云测评

2023-01-10 11:37:22

Python 库PySnooper项目

2018-01-17 16:36:40

Windows 10Windows免费升级

2020-10-25 08:52:19

Unix操作系统TrueOS

2018-03-27 14:56:05

互联网

2015-12-21 10:34:11

2023-12-15 09:19:44

百度飞桨文心大模型大模型
点赞
收藏

51CTO技术栈公众号