Nýr varnarleysi hefur verið uppgötvaður í Windows 10, Windows 11 og Windows Server sem gerir kleift að hækka staðbundin réttindi og öðlast stjórnandaréttindi. Notkun fyrir það hefur þegar verið birt á netinu, með hjálp sem árásarmenn sem hafa þegar brotist inn í kerfið, en hafa takmarkaðan aðgang, geta náð fullri stjórn á tækinu. Varnarleysið hefur áhrif á allar útgáfur af Windows sem nú eru studdar.
Sem hluti af plástri þriðjudaginn nóvember 2021 lagfærði Microsoft varnarleysi vegna stigmögnunar forréttinda Windows Installer sem kallast CVE-2021-41379. Þessi varnarleysi var uppgötvaður af öryggisrannsakandanum Abdelhamid Naseri, sem fann lausn fyrir meðfylgjandi lagfæringu og nýjan, öflugri varnarleysi í núll-daga réttindahækkanir eftir að hafa skoðað plástur sem Microsoft gaf út. Í gær birti Naseri virka tilraunastarfsemi fyrir nýja varnarleysið á GitHub og útskýrði að það virki á öllum studdum útgáfum af Windows.
Að auki útskýrir Naseri að þó að hópstefna gæti verið stillt til að koma í veg fyrir að notendur með grunnréttindi noti Windows Installer (MSI); nýja varnarleysið framhjá þessari stefnu og mun virka engu að síður. BleepingComputer prófaði InstallerFileTakeOver hagnýtingu; og komst að því að það tók hann aðeins nokkrar sekúndur að fá kerfisréttindi af prófunarreikningnum; með venjuleg réttindi. Prófið var keyrt á Windows 10 21H1 með byggingarnúmerinu 19043.1348.
Naseri sagðist hafa upplýst opinberlega um núlldaga varnarleysið vegna gremju með niðurskurð á hugbúnaðarvilluáætlun Microsoft. Redmond Corporation tjáði sig ekki um ástandið á nokkurn hátt. Þeir munu líklega laga varnarleysið með næstu uppfærslu á þriðjudag.
Microsoft mun halda áfram að uppfæra Windows 10 einu sinni á ári
Microsoft tilkynnti upphaf dreifingar á Windows 10 nóvember 2021 uppfærslunni (21H2). Á sama tíma sögðu verktaki að í framtíðinni muni hugbúnaðarvettvangurinn fá meiriháttar uppfærslur einu sinni á ári. Afhending uppfærslur á Windows 11 er í boði á sama hátt. Þannig er næsta meiriháttar uppfærsla fyrir Windows 10 kemur aðeins út seinni hluta árs 2022 og ekki í maí-júní eins og áður.
„Við erum að fara yfir í nýja uppfærsluáætlun Windows 10 til að fylgjast með hraða Windows 11; sem leggur áherslu á að fá hagnýtar uppfærslur á hverju ári. Næsta eiginleikauppfærsla fyrir Windows 10 verður gefin út seinni hluta ársins 2022. Við munum halda áfram að styðja að minnsta kosti eina útgáfu af Windows 10 til 14. október 2025." Þetta kemur fram í tilkynningu frá Microsoft.
Þrátt fyrir þá staðreynd að helstu áætlanir Microsoft tengist Windows 11; hugbúnaðarrisinn mun gefa út hagnýtar uppfærslur á fyrri útgáfu pallsins í langan tíma. Að flytja yfir í árlega útgáfu af hagnýtum uppfærslum mun vera góðar fréttir fyrir fyrirtækjaviðskiptavini; sem þurfa að prófa pakkana sem Microsoft gefur út fyrir samhæfni við vélbúnað sinn áður en þeir setja þá upp á notendatækjum. Þessi breyting mun einnig gefa verulega meiri tíma til að prófa innherjauppfærslur; sem gerir Microsoft kleift að laga eins margar villur og mögulegt er áður en uppfærslur verða aðgengilegar almenningi.
