Werbung
Eigentlich sollen Bug-Bounty-Programme die Sicherheit von Systemen erhöhen. Sicherheitsforscher haben so die Möglichkeit, Schwachstellen beziehungsweise Sicherheitslücken bei einem offiziellen Ansprechpartner zu melden und erhalten hierfür ein Kopfgeld beziehungsweise eine Prämie. Dies soll zudem dafür sorgen, dass Experten explizit nach Lücken suchen, die gegebenenfalls von einem Angreifer ausgenutzt werden können. Dass insbesondere Zero-Day-Exploits bares Geld wert sind, dürfte offensichtlich sein. Zudem interessieren sich nicht nur die Hersteller für diese, sondern auch Kriminelle. Allerdings nutzen besagte Programme wenig, wenn sich mit einer gefundenen Sicherheitslücke auf dem Schwarzmarkt wesentlich mehr Geld verdienen lässt, als der Hersteller an den Finder ausschüttet.
Aus diesem Grund hat sich der Sicherheitsexperte Abdelhamid Naceri dazu entschieden, einen Zero-Day-Exploit für die Microsoft-Betriebssysteme Windows 10 und 11 sowie Server zu veröffentlichen. Als Begründung führte der Forscher die von Microsoft seit April 2020 reduzierten Belohnungen auf. Ob das genannte Vorgehen Früchte tragen wird bleibt vorerst abzuwarten. Microsoft sieht die von Naceri entdeckte Sicherheitslücke weniger problematisch, dabei ist die Schwachstelle durchaus als kritisch zu betrachten.
Angreifer können den veröffentlichen Exploit dazu nutzen, Windows-User mit wenigen Rechten zum Administrator zu ernennen. Besonders problematisch ist dabei, dass selbst die Gruppenrichtlinien nichts ändern. Auch wenn ein physischer Zugriff auf das System des Opfers bestehen muss, sollte die veröffentlichte Schwachstelle keinesfalls auf die leichte Schulter genommen werden.
Microsoft gab zu Protokoll, dass man alles Notwendige unternehmen wird, um die eigenen Kunden zu schützen. Wann jedoch ein entsprechender Patch veröffentlicht wird ist nicht bekannt.
