近日對於系統研究人員最喪氣的新聞,莫過於微軟提供給漏洞回報者的獎金大幅度縮水這件事情,讓長期以來對系統深入幫忙查找毛病的研究者動力大減,近日還有研究人員直接把一個影響到 Windows 11、Windows 10 和 Windows Server 的漏洞直接公開分享,作為對微軟新政策的抗議。
因微軟大幅降低回報獎金,研究人員直接公開最新Windows 系統權限漏洞
一位研究人員公開披露了 Windows 11、Windows 10 和 Windows Server 中一個以零日為基礎的本機權限升級漏洞,該漏洞允許擁有標準許可權的用戶以 SYSTEM 許可權打開指令應用,並且可利用此權限在整個網路中傳播惡意內容。
據報導,由於開發者對微軟減少漏洞回報獎金感到沮喪,於是將此漏洞直接公開。研究人員 Abdelhamid Naceri 告訴 Bleeping Computer,從 2020 年 4 月以來,微軟的獎勵機制已經逐漸被改變,要不是微軟決意降低獎金,自己還不會想直接公開問題。多年來微軟漏洞回報獎金計畫的支付多年來都以各種方式減少支付金額,這個抱怨並不是初次聽到,很多 Bug 獵人對此都頗有怨言。
Under Microsoft’s new bug bounty program one of my zerodays has gone from being worth $10,000 to $1,000 💀
— MalwareTech (@MalwareTechBlog) July 27, 2020
BE CAREFUL! Microsoft will reduce your bounty at any time! This is a Hyper-V RCE vulnerability be able to trigger from a Guest Machine, but it is just eligible for a $5000.00 bounty award under the Windows Insider Preview Bounty Program. Unfair! @msftsecresponse
@msftsecurity pic.twitter.com/sJw3cjsliF— rthhh (@rthhh17) November 9, 2021
微軟修復了其 2021 年 11 月星期二更新中的問題,但仍然存在一個相關漏洞。Naceri 發現了修復後的旁支和更強大的漏洞出現,他在 GitHub 上發表了一篇概念驗證漏洞的貼文,還深入地解釋了該漏洞原理與細節。Bleeping Computer 對此漏洞進行實際測試,事實證明,該漏洞在具有標準許可權的帳號上的確能夠進一步獲得 SYSTEM 許可權。
目前微軟雖然並沒有對此發表任何評論,但可能該公司正在設法修復此漏洞,不過筆者認為既然提出漏洞回報獎勵計畫,該給的還是要大方給,否則就失去最原始這個計畫推出時群策群力完善系統的初衷了。
◎資料來源:Windows Central、Bleeping Computer