- Dapatkan link
- Aplikasi Lainnya
Dini Listiyani
REDMOND, iNews.id - Ada masalah zero-day baru di Windows. Kali ini bug tersebut telah diungkapkan ke publik oleh peneliti keamanan yang merasa frustasi dengan Microsoft atas pembayaran bug bounty.
Kerentanan terkait dengan pengguna yang memanfaatkan prompt perintah dengan hak istimewa sistem yang tidak sah untuk berbagi konten berbahaya melalui jaringan. Menurut laporan dari Bleeping Computer, Abdelhamid Naceri, peneliti keamanan yang mengungkapkan bug ini, frustrasi dengan Microsoft atas pembayaran dari program bug bounty.
Bounty tampaknya telah diturunkan secara signifikan selama dua tahun terakhir. Naceri juga tidak sendirian. Seorang pengguna Twitter melaporkan pada 2020 kerentanan zero-day tidak lagi membayar 10.000 dolar AS dan sekarang bernilai 1.000 dolar AS.
Awal bulan ini, pengguna Twitter lain melaporkan bounty dapat dikurangi kapan saja. Microsoft tampaknya memperbaiki masalah zero-day dengan putaran terbaru pembaruan "Patch Tuesday", tetapi membiarkan yang lain tidak ditambal dan diperbaiki dengan tidak benar.
Naceri melewati patch dan menemukan varian yang lebih kuat. Kerentanan zero-day berdampak pada semua versi Windows yang didukung, termasuk Windows 8.1, Windows 10, dan Windows 11, sebagaimana dikutip dari Digital Trends.
“Varian ini ditemukan selama analisis patch CVE-2021-41379. Namun, bug itu tidak diperbaiki dengan benar, alih-alih menjatuhkan bypass. Saya telah memilih untuk benar-benar menjatuhkan varian ini karena lebih kuat daripada yang asli," kata Naceri dalam posting GitHub.
Bukti konsepnya ada di GitHub, dan Bleeping Computer menguji eksploit dan menjalankannya. Itu juga dieksploitasi di alam liar dengan malware, menurut publikasi.
Dalam sebuah pernyataan, juru bicara Microsoft mengatakan mereka akan melakukan apa yang diperlukan untuk menjaga pelanggannya tetap aman dan terlindungi. Perusahaan juga menyebutkan mereka mengetahui pengungkapan kerentanan zero-day terbaru.
Disebutkan penyerang harus sudah memiliki akses dan kemampuan untuk menjalankan kode pada mesin korban target agar dapat berfungsi. Dengan liburan Thanksgiving di A.S., dan fakta seorang peretas memerlukan akses fisik ke PC, mungkin perlu beberapa saat hingga patch dirilis.
Editor : Dini Listiyani
Komentar
Posting Komentar