Onderzoeker zet ernstig Windows beveiligingslek op internet uit protest

luispreker sirene op toren

Beveiligingsonderzoeker Abdelhamid Naceri heeft een ernstige kwetsbaarheid in Windows op internet gepubliceerd uit protest tegen de lage beloningen die Microsoft uitdeelt aan onderzoekers die kwetsbaarheden melden. Met de beveiligingslek kan een kwaadwillende binnen een paar seconden volledige administrator rechten over een computer krijgen.

Naceri nam begin november 2021 een oplossing van Microsoft onder de loep. Hij ontdekte dat de bug niet goed was opgelost en dat hij via een omweg een nog krachtigere versie van deze exploit kon ontwikkelen. Zijn bevindingen over deze kwetsbaarheid publiceerde hij als Proof-of-Concept op het veelgebruikte openbare codeplatform GitHub.

Beveiliging omzeilen

Dat het een ernstige kwetsbaarheid is, blijkt uit de test van Bleeping Computer. Zij testten de exploit op een test pc met de meest recente versie van Windows 10. De exploit bleek bijzonder simpel uit te voeren: door het aanklikken van een .exe, een installatie bestand, verandert een regulier account zonder rechten binnen een paar seconden in een administrator account dat volledige toegang heeft tot de computer.

Bij veel bedrijven is het via gebruikersrechten(policies) geregeld dat gewone gebruikers geen programma’s mogen installeren, maar deze zero-day werkt; dus zelfs als deze policies streng zijn afgesteld. Hierdoor zijn ook grote bedrijven met betere beveiliging kwetsbaar.

Lage beloningen

Normaliter meldt een onderzoeker een dergelijke kwetsbaarheid bij de softwareontwikkelaar, zodat zij deze in alle stilte kunnen verhelpen. Afhankelijk van hoe ernstig een kwetsbaarheid is, ontvangt de onderzoeker in ruil hiervoor een beloning, een zogeheten bug-bounty. Deze beloningen kunnen variëren van honderden tot tienduizenden dollars, of zelfs nog veel meer. Volgens Naceri zijn de bug-bounties van Microsoft sinds april 2020 aanzienlijk lager dan voorheen.

Vaak kost het veel tijd en moeite om een kwetsbaarheid te vinden en uit te werken, dus onderzoekers schrikken wanneer bounties die voorheen 10.000 Amerikaanse dollar waard waren, vandaag de dag nog maar 1.000 dollar opleveren.

Techredacteur
Bas heeft jarenlange ervaring in de techsector als redacteur en reviewer. Hij schrijft graag uitgebreide reviews van beveiligingssoftware als VPN diensten, virusscanners en wachtwoordmanagers. Daarnaast blijft hij altijd op de hoogte van het laatste nieuws op het gebied van cybercrime, crypto en unblocking. Meer over Bas.
Plaats een reactie
Een reactie plaatsen