विंडोज़ ज़ीरो-डे किसी को भी विंडोज़ 10, 11 और सर्वर पर प्रशासकीय विशेषाधिकार प्राप्त करने देता है। भेद्यता के बारे में यहां और पढ़ें।
एक नया विंडोज़ ज़ीरो-डे जो विंडोज़ 10 को प्रभावित करता है, विंडोज़ 11, और विंडोज़ सर्वर किसी को भी डिवाइस पर प्रशासनिक विशेषाधिकार प्राप्त करने की अनुमति देगा। यह विंडोज़ के सभी समर्थित संस्करणों को प्रभावित करता है और किसी डिवाइस तक सीमित पहुंच वाले हमलावर को पूरे नेटवर्क में फैलने के लिए अपने विशेषाधिकारों को आसानी से बढ़ाने की अनुमति दे सकता है।
ब्लीपिंगकंप्यूटर विंडोज़ पर शोषण का परीक्षण किया है और इसका उपयोग उस खाते से सिस्टम विशेषाधिकारों के साथ कमांड प्रॉम्प्ट खोलने के लिए करने में सक्षम था जिसमें केवल "मानक" विशेषाधिकार थे। यह भेद्यता Microsoft द्वारा प्रत्युत्तर में निकाले गए पैच का एक बाईपास है सीवीई-2021-41379 और सुरक्षा शोधकर्ता द्वारा खोजा गया था अब्देलहामिद नसेरी. पैच इसी महीने लगाया गया था पैच मंगलवार रिलीज़. नैसेरी ने अवधारणा का प्रमाण जारी किया GitHub जो दिखाता है कि भेद्यता का फायदा कैसे उठाया जाए, और ब्लीपिंगकंप्यूटर प्रदर्शित किया गया कि कैसे नैसेरी का "इंस्टालरफाइलटेकओवर" सिस्टम विशेषाधिकार प्राप्त करने के लिए महज कुछ सेकंड में काम करता है। इसका परीक्षण Windows 10 21H1 बिल्ड 19043.1348 पर किया गया था।
“इस वैरिएंट की खोज CVE-2021-41379 पैच के विश्लेषण के दौरान की गई थी। हालाँकि, बग को सही ढंग से ठीक नहीं किया गया था, इसके बजाय बाईपास को छोड़ दिया गया था," GitHub पर नैसेरी बताते हैं। "मैंने वास्तव में इस संस्करण को छोड़ने का विकल्प चुना है क्योंकि यह मूल संस्करण की तुलना में अधिक शक्तिशाली है।" द्वारा पूछे जाने पर ब्लीपिंगकंप्यूटर उन्होंने शून्य-दिन की भेद्यता का सार्वजनिक रूप से खुलासा क्यों किया, उन्होंने कहा कि उन्होंने ऐसा माइक्रोसॉफ्ट के बग बाउंटी कार्यक्रम में भुगतान कम करने से हताशा के कारण किया। उन्होंने कहा, "अप्रैल 2020 से माइक्रोसॉफ्ट के इनामों को रद्दी में डाल दिया गया है, अगर एमएसएफटी ने उन इनामों को डाउनग्रेड करने का निर्णय नहीं लिया होता तो मैं वास्तव में ऐसा नहीं करता।"
नैसेरी माइक्रोसॉफ्ट के कम बग बाउंटी भुगतान के संबंध में अपनी चिंता व्यक्त करने वाले पहले शोधकर्ता नहीं हैं। कम मूल्य का भुगतान हैकरों को कमजोरियों को अपने पास रखने के लिए प्रोत्साहित करता है, या इससे भी बदतर, उन्हें दूसरों को बेचने के लिए प्रोत्साहित करता है जो दुर्भावनापूर्ण रूप से उनका उपयोग कर सकते हैं।
हम उम्मीद करते हैं कि माइक्रोसॉफ्ट भविष्य के पैच मंगलवार अपडेट में इस शोषण को पैच करने का प्रयास करेगा। नैसेरी का कहना है कि सबसे अच्छा उपाय यह है कि माइक्रोसॉफ्ट द्वारा प्रभावित विभिन्न विंडोज संस्करणों के लिए सुरक्षा पैच जारी करने की प्रतीक्षा की जाए।