la colère gronde chez les chercheurs, qui trouvent que Microsoft ne paie plus assez.

la colère gronde chez les chercheurs, qui trouvent que Microsoft ne paie plus assez.



Ambiance « gilets jaunes » chez les chercheurs en sécurité. Estimant que les tarifs du programme de bug bounty de Microsoft sont désormais trop bas, le chercheur en sécurité, Abdelhamid Naceri, a décidé de ne plus jouer le jeu de la « divulgation responsable ». Il a directement publié sur GitHub une faille zero-day qu’il avait trouvée.
Elle permet de réaliser une élévation de privilèges et d’obtenir les droits System à partir d’un compte utilisateur standard. Cette attaque fonctionne avec toutes les versions de Windows, y compris Windows 11 et Windows Server. Voici une démo vidéo réalisée par Bleeping Computer.

Cette faille, qui n’est pas corrigée à l’heure actuelle, est en fait la variante d’une autre faille similaire qu’il avait trouvée précédemment (CVE-2021-41379), et qui a été patchée le 9 novembre dernier. Mais ce patch n’était pas pas bon.

« Cette variante a été découverte lors de l’analyse du patch CVE-2021-41379. Le bogue n’a pas été corrigé correctement. Toutefois, au lieu de publier un contournement, j’ai préféré balancer cette variante, car elle est plus puissante que l’originale. J’ai également veillé à ce que la preuve de concept soit extrêmement fiable et ne nécessite rien, donc cela fonctionne à chaque tentative », peut-on lire sur GitHub. Et bim !

A découvrir aussi en vidéo :

Interrogé par Bleeping Computer, il explique en avoir gros sur la patate.

« Les primes Microsoft partent à vau-l’eau depuis avril 2020. Je ne le ferais vraiment pas si MSFT ne prenait pas la décision de réduire ces primes », a expliqué Naceri, qui n’est pas le seul à pointer du doigt la firme de Redmond.

Le mécontentement prend de l’ampleur

Sur Twitter, ils sont de plus en plus nombreux à se plaindre.

« Ils ont mis à jour les règles de primes pour exclure le RDP en mode amélioré le 8 novembre 2021. Ensuite, ils l’utilisent comme excuse pour réduire la prime », explique le VictorV.
« Dans le cadre du nouveau programme de bug bounty de Microsoft, l’un de mes zero-days est passé de 10 000 à 1 000 dollars », relate, dépité, MalwareTech.
« ATTENTION ! Microsoft réduira votre prime à tout moment ! Voici une vulnérabilité Hyper-V RCE, pouvant être déclenchée à partir d’une machine invitée, mais elle n’est éligible qu’à une prime de 5 000 dollars dans le cadre du programme de primes Windows Insider Preview. C’est injuste ! », alerte Rthhh.

Les chercheurs mécontents vont peut-être bientôt se réunir autour d’un rond-point virtuel pour manifester leur mécontentement. On ne sait jamais comment ces choses peuvent évoluer.

Source : Bleeping Computer





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.