Todas las Noticias en Pel√≠culas, Avances de Pel√≠culas y Rese√Īas.

Una nueva vulnerabilidad permite a los atacantes obtener derechos de administrador en Windows 11 y 10

El investigador de seguridad Abdelhamid Naceri ha descubierto una nueva vulnerabilidad de día cero que permite a una persona obtener privilegios del SISTEMA en cuestión de segundos. Se sabe que la vulnerabilidad afecta a todas las versiones compatibles de Windows, incluidas Windows 10, Windows 11 y Windows Server.

El script publicado inicia el símbolo del sistema con privilegios de SISTEMA desde una cuenta de usuario con privilegios estándar.

Microsoft solucionó CVE-2021-41379 con la revisión de noviembre de 2021, una vulnerabilidad de escalada de privilegios de Windows Installer que también descubrió Naceri.

Naceri descubri√≥ una nueva versi√≥n del exploit mientras analizaba CVE-2021-41379 y se√Īal√≥ que el problema original no se hab√≠a solucionado correctamente. Decidi√≥ no publicar una soluci√≥n alternativa para la soluci√≥n que lanz√≥ Microsoft, afirmando que la nueva versi√≥n que public√≥ era m√°s poderosa que la original.

Abdelhamid Naceri ha publicado informaci√≥n p√ļblica sobre la vulnerabilidad debido a la frustraci√≥n con el programa Microsoft Bug Bounty. El caso es que en abril de 2020, Microsoft redujo el importe de las recompensas por vulnerabilidades descubiertas en sus productos. Por ejemplo, antes la empresa pagaba unos 10.000 d√≥lares por una vulnerabilidad de d√≠a cero, mientras que ahora la remuneraci√≥n es de s√≥lo 1.000 d√≥lares.

Bajo el nuevo programa de recompensas por errores de Microsoft, uno de mis d√≠as cero pas√≥ de valer $10,000 a $1,000 ūüíÄ

‚ÄĒMalwareTech (@MalwareTechBlog) 27 de julio de 2020

Para probar el exploit, pitidocomputadora lanzó el script en Windows 10 versión 21H1 (compilación 19043.1348) y confirmó que funciona correctamente.

Naceri tambi√©n explic√≥ que Windows incluye pol√≠ticas de grupo para evitar que los usuarios ‘Est√°ndar’ realicen operaciones de instalaci√≥n de MSI, pero su exploit pasa por alto esta pol√≠tica y sigue siendo completamente funcional.

Recomendado:  Demanda de privacidad de Siri contra Apple: ¬ŅDeber√≠an los asistentes de voz conocer sus asuntos personales?

Microsoft es consciente de la divulgaci√≥n p√ļblica de esta vulnerabilidad. Se espera que la compa√Ī√≠a publique una soluci√≥n lo antes posible.