Support us

Новая уязвимость позволяет легко получить права администратора во всех актуальных Windows

ИБ-специалист Абдельхамид Насери обнаружил уязвимость в Windows 10, Windows 11 и Windows Server, которая позволяет повысить локальные привилегии и получить права администратора. Также он выложил эксплойт, с помощью которого злоумышленники, уже взломавшие систему, но имеющие ограниченный доступ, могут получить полный контроль над устройством. Уязвимость затрагивает все поддерживаемые версии Windows, пишет 3DNews.

Оставить комментарий
Новая уязвимость позволяет легко получить права администратора во всех актуальных Windows

ИБ-специалист Абдельхамид Насери обнаружил уязвимость в Windows 10, Windows 11 и Windows Server, которая позволяет повысить локальные привилегии и получить права администратора. Также он выложил эксплойт, с помощью которого злоумышленники, уже взломавшие систему, но имеющие ограниченный доступ, могут получить полный контроль над устройством. Уязвимость затрагивает все поддерживаемые версии Windows, пишет 3DNews.

В рамках последнего патч-вторника в ноябре Microsoft устранила уязвимость CVE-2021-41379, связанную с повышением привилегий установщика Windows. Насери изучил исправления и нашёл способ обойти их, а также ещё одну, более мощную уязвимость нулевого дня для повышения привилегий. Недавно исследователь опубликовал на GitHub экспериментальный эксплойт для новой уязвимости, который работает во всех актуальных версиях Windows.

Как объяснил Насери, групповые политики можно настроить так, чтобы пользователи с базовыми привилегиями не могли использовать установщик Windows, однако новая уязвимость обходит эту политику и будет работать в любом случае. Издание Bleeping Computer протестировало эксплойт и обнаружило, что на получение привилегий уровня SYSTEM с тестовой учётной записи с привилегиями Standard ему потребовалось всего несколько секунд. Тест проводился в Windows 10 (21H1) с номером сборки 19043.1348.

Раскрыть уязвимость нулевого дня Насери решил из-за того, что недоволен уменьшением выплат Microsoft по программе вознаграждения за найденные в её ПО баги. Компания заявила, что знает о проблеме и будет делать всё необходимое для защиты пользователей.

16 лет dev.by — «дефолтный» источник информации о беларусском ИТ

Вы можете...

Читайте также
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
Sony не может договориться с Microsoft о продлении выпуска Call of Duty на PlayStation
1 комментарий
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
1 комментарий
Google, Apple, Microsoft постепенно выносят производство из Китая
Google, Apple, Microsoft постепенно выносят производство из Китая
Google, Apple, Microsoft постепенно выносят производство из Китая
4 комментария
Топ-10 компаний, в которых хотят работать студенты-айтишники
Топ-10 компаний, в которых хотят работать студенты-айтишники
Топ-10 компаний, в которых хотят работать студенты-айтишники

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.