Frust über Microsoft: Zero Day-Exploit für Windows direkt öffentlich

Security-Experten sind zunehmend unzufrieden mit Microsofts Bug Bounty-Praxis. Das führte jetzt dazu, dass die Informationen über eine aktuelle Zero Day-Sicherheitslücke in Windows-Installationen direkt öffentlich gemacht wurden.

Christian Kahle, 24.11.2021 09:08 Uhr

Microsoft, Sicherheit, Hacker, Fehler, Hack, Bug, Kriminalität, Computer, Schadsoftware, Cybersecurity, Hacking, Internetkriminalität, Fehlerbehebung, Bugs, Absturz, Hacker Angriffe, Hacken, Attack, Crash, Ransom, Crime, Error, Schädling, Bluescreen, Fehlermeldung, Update Fehler, Windows 10 bugs, Windows 10 Bug, Fehlercode, Neon, Promi-Hacker, Windows 10 Fehler, Softwarefehler, User, Achtung, Bluescreens, Attantion, Opfer, Anwender, Windows 10 Bluescreen, Dead, Pink, Hardwarefehler, Traurig, Computertot, Programmabsturz, Sad

Die zugrundeliegende Schwachstelle ist eigentlich nicht unbekannt. Microsoft hat für den Bug mit der Kennung CVE-2021-41379 beim letzten Patch Day eine Korrektur ausgeliefert. Entdeckt wurde der Fehler ursprünglich durch den Security-Forscher Abdelhamid Naceri. Nach einer Prüfung des Microsoft-Patches stellte sich heraus, dass man diesen umgehen und so sogar zu einem noch mächtigeren Angriff nutzen kann. Diese Informationen gab Naceri nun nicht an Microsoft weiter, sondern veröffentlichte sie direkt.

Der Sicherheitsforscher stellte einen funktionierenden Proof-of-Concept-Exploit bereit, den die Kollegen des US-Magazins Bleeping Computer erfolgreich vorführen können. Der Test erfolgte auf einer Windows 10 21H1-Installation. Neben Windows 10 sollen aber auch Windows 11 und der Windows Server 2022 betroffen sein. Bei dem Bug handelt es sich um eine Schwachstelle, die es Angreifern ermöglicht, aus einem normalen Nutzer-Account heraus System-Rechte zu bekommen, was einer vollständigen Übernahme des Ziel-Systems entspricht.

Windows: Bleeping Computer demonstriert Zero Day-Exploit

Microsoft belohnt schlechter

Für gewöhnlich hätte ein Sicherheitsforscher, der das Problem entdeckt, es an Microsoft gemeldet und nach einer gewissen Wartezeit und der Veröffentlichung eines weiteren Patches die zugehörigen Informationen veröffentlicht. So lief es wohl auch im vorliegenden Fall bis zum letzten Patch-Day. Nun aber entschied sich Naceri dafür, die neuen Informationen direkt öffentlich zu machen, was nun schnell dazu führen kann, dass Angreifer den Bug ausnutzen, ohne dass die Nutzer sich schützen könnten.

Er begründet dies damit, dass er zunehmend frustriert über Microsofts Umgang mit seinem Bug Bounty-Programm sei. Das Unternehmen habe die Belohnungen für die Meldung von Bugs seit dem April letzten Jahres immer weiter heruntergeschraubt. Für Security-Forscher, die viel Zeit und Wissen in die Suche nach sicherheitsrelevanten Fehlern stecken, bedeutet dies, dass ihre Arbeit immer schlechter honoriert wird. Auch andere haben sich bereits über die Entwicklung bei Microsoft beklagt.

Siehe auch:

Thema:

Windows 11

Kommentieren8

Hinweis einsenden

Weitere Nachrichten zum Thema Zero Days patchen: Microsoft kann sich ein Beispiel an Linux nehmenSicherheitsupdate für Windows Update-Assistent verfügbarPatchday November: Sicherheitsupdate für Windows 11 ist daMicrosoft veröffentlicht neues Sicherheitsupdate für Windows 7