Ny alvorlig 0-dagssårbarhed i Windows

I utilfredshed med Microsofts Bug Bounty-program har en forsker afsløret sårbarheder og publiceret en POC-kode. POC Koden er den der beviser at sikkerhedshullet kan udnyttes. Normalt er det sådan at Microsoft og andre får f.eks. 3 måneder til at rette fejlen, men i dette tilfælde blev forskeren utålmodig i sin utilfredshed over Microsoft Bug Bounty programmet.

Forskeren har nemlig publiceret en proof-of-concept exploitkode til en 0-dagssårbarhed i Windows, der påvirker alle understøttede versioner af Windows, inklusive Windows 10, Windows 11 og tillige Windows Server 2022.

Sårbarheden blev dog rettet som en del af novembers måneds tirsdagspatch fra Microsoft, men forskeren har afdækket, at rettelsen ikke er tilstrækkelig. Sårbarheden gør det således fortsat muligt for en trusselsaktør med adgang til en kompromitteret enhed at hæve privilegierne. Med dette kan Medarbejderhævn, malware og Ransomware sprede sig inden for hele netværket.

Utilfreds dusør jæger

Afsløringen af denne exploit-koden kommer fordi forskeren, som ofte er White Hack hackere, er utilfreds med Microsofts Bug Bounty-program. I en udtalelse siger forskeren, at Microsofts belønning for fund af sårbarheder har været ’meget dårlige’ siden april 2020, og at sikkerhedsmiljøet ikke ville afsløre sårbarheder, hvis Microsoft tog situationen med honoreringen alvorligt. Tilsyneladende har den pågældende forsker tidligere været i stand til at tjene 10.000 dollar på 0-dagssårbarheder, men i denne omgang fik han kun 1.000 dollar, hvilket han selv bekendtgør på Twitter.  

Microsoft siger til BleepingComputer, at de er opmærksomme på offentliggørelsen af sårbarheden, men nedtoner alvoren, eftersom en angriber skal have adgang og evnen til at køre kode på et offers maskine, for at sårbarheden kan udnyttes. Sårbarheden, der har id’et CVE-2021-41379, har da også fået 5,5 på CVSS-skalaen, men det har ifølge researchere ved Cisco Talos ikke forhindret trusselsaktører i at begynde at udnytte den. Den er effektiv for USB infektioner og for kørsel via Phishing kampagner. Mon ikke at Microsoft vil rette sårbarheden i en kommende Patch Tuesday, som næste gang er tirsdag den 14. december.

Her kan man se hvor mange penge der er i de forskellige programmer indenfor 3 hovedkategorier:

Cloud Programs

Program NameStart dateLast UpdatedEnd dateEligible entriesBounty Range
Microsoft Azure2014-09-232021-10-18OngoingVulnerability reports on Microsoft Azure cloud services Up to $60,000 USD
Microsoft Identity2018-07-172019-10-23OngoingVulnerability reports on Identity services, including Microsoft Account, Azure Active Directory, or select OpenID standards.Up to $100,000 USD
Xbox2020-01-302020-01-30OngoingVulnerability reports on the Xbox Live network and servicesUp to $20,000 USD
Microsoft Online Services2014-09-232019-08-05OngoingVulnerability reports on applicable Microsoft cloud services, including Office 365Up to $20,000 USD
Microsoft Azure DevOps Services2019-01-172019-01-17OngoingVulnerability reports on applicable Microsoft Azure DevOps ServicesUp to $20,000 USD
Microsoft Dynamics 365 and Power Platform2019-07-172021-10-13OngoingVulnerablility reports on applicable Microsoft Dynamics 365 and Power Platform applicationsUp to $20,000 USD
Microsoft .NET2016-09-012020-11-20OngoingVulnerability reports on .NET Core and ASP.NET Core RTM and future builds (see link for program details)Up to $15,000 USD

Platform Programs

Program NameStart DateLast UpdatedEnd DateEligible EntriesBounty Range
Microsoft Hyper-V2017-05 -312020-04-13OngoingCritical remote code execution, information disclosure and denial of services vulnerabilities in Hyper-VUp to $250,000 USD
Microsoft Windows Insider Preview2017-07-262020-08-27OngoingCritical and important vulnerabilities in Windows Insider PreviewUp to $100,000 USD
Microsoft Applications2021-03-242021-07-19OngoingCritical and important vulnerabilities in Microsoft ApplicationsUp to $30,000 USD
Windows Defender Application Guard2017-07-262017-07-26OngoingCritical vulnerabilities in Windows Defender Application GuardUp to $30,000 USD
Microsoft Edge (Chromium-based)2019-08-202021-10-21OngoingCritical, important, and moderate vulnerabilities in Microsoft Edge (Chromium-based) Dev, Beta, and Stable channelsUp to $30,000 USD
Office Insider2017-03-152018-12-07OngoingVulnerabilities on Office InsiderUp to $15,000 USD
ElectionGuard2019-10-182021-03-31OngoingVulnerabilities in ElectionGuardUp to $15,000 USD

Defense & Grant Programs

Program NameStart DateLast UpdatedEnd DateEligible EntriesBounty Range
Mitigation Bypass and Bounty for Defense2013-06-262018-10-02OngoingNovel exploitation techniques against protections built into the latest version of the Windows operating system. Additionally, defensive ideas that accompany a Mitigation Bypass submission.Up to $100,000 USD (plus up to an additional $100,000)
Grant: Microsoft Identity2020-01-092020-04-09OngoingThis project grant awards up to $75,000 USD for approved research proposals that improve the security of the Microsoft Identity solutions in new ways for both Consumers (Microsoft Account) and Enterprise (Azure Active Directory).Up to $75,000 USD
SIKE Cryptographic Challenge2021-06-092021-06-09OngoingThis challenge awards up to $50,000 USD for solutions that break the SIKE algorithm for two sets of toy parameters.Up to $50,000 USD

Kilder: Bleebingcomputer, Microsoft og ICARE.DK

Scroll til toppen