22 ноября 2021 года исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM. Уязвимость до сих пор, как оказалось, не до конца закрыта разработчиками и ей подвержены все поддерживаемые Microsoft версии Windows, включая WIndows 10, Windows 11 и даже Windows Server 2022. Причина публикации эксплойта разработчиком — его протест против политики Microsoft, которая продолжает политику сокращения выплат исследователям по своим программам поисков уязвимостей (bug bounty).
Эксперты Bleeping Computer проверили работоспособность эксплойта исследователя Абдельхамида Насери и выяснили, что с его помощью действительно можно за несколько секунд локально получить обычным пользователем права администратора системы на самой последней и обновленной со всеми патчами версии Windows 10 21H1 build 19043.1348.
Пример использования эксплойта под названием InstallerFileTakeOver
Разработчик пояснил, что его эксплойт работает даже если ПК в домене — он обходит установленные групповые политики со стороны сервера Windows Server 2022, например, запрет «стандартным» пользователям выполнять операции установщика MSI. Это также возможно на Windows Server 2016 и 2019, если там установлены по умолчанию определенные службы повышения прав в системе.
Принцип работы эксплойта — при его запуске происходит перезапись DACL (Discretionary access control list — избирательной таблицы управления доступом) службы повышения прав Microsoft Edge, которая копирует себя в расположение службы и выполняет ее под SYSTEM, что позволяет получить повышенные привилегии.
Насери посоветовал пользователям и администраторам ждать нового патча от Microsoft по этой недоработанной уязвимости, а не пытаться ее закрыть самостоятельно различными способами.
Исследователь рассказал Bleeping Computer, что он публично раскрыл эксплойт, так как сильно разочаровался в политике Microsoft, которая с апреля 2020 года уменьшает награды исследователям по bug bounty и хочет обратить на это внимание со стороны компании. С его позицией согласны другие эксперты и ИБ-специалисты, которые также жалуются на то, что Microsoft теперь платит за побег из песочницы $5 тыс., а за 0-day уязвимости с $10 тыс. снизила выплаты до $1 тыс.
В июле 2021 года Microsoft рассказала, что за последний год выплатила сторонним специалистам по безопасности и IT-экспертам около $13,6 млн в рамках 17 программ по поиску уязвимостей в своих программных продуктах и сервисах. За период с 1 июля 2019 года по 30 июня 2020 года Microsoft выплатила $13,7 млн по своим программам bug bounty всего 327 исследователям.