פגיעות חדשה התגלתה ב-Windows 10, Windows 11 ו-Windows Server המאפשרת העלאת הרשאות מקומיות והשגת זכויות מנהל. ניצול עבורו כבר פורסם ברשת, שבעזרתו יכולים תוקפים שכבר פרצו למערכת, אך בעלי גישה מוגבלת, להשיג שליטה מלאה על המכשיר. הפגיעות משפיעה על כל הגירסאות הנתמכות כרגע של Windows.
כחלק מתיקון ביום שלישי בנובמבר 2021, מיקרוסופט תיקנה פגיעות הסלמה של הרשאות Windows Installer המכונה CVE-2021-41379. פגיעות זו התגלתה על ידי חוקר האבטחה עבד אלחמיד נאסרי, שמצא פיתרון לתיקון שסופק ופגיעות חדשה וחזקה יותר של העלאת הרשאות אפס יום לאחר בחינת תיקון שפרסמה מיקרוסופט. אתמול פרסם Naseri ניצול ניסיוני עובד עבור הפגיעות החדשה ב-GitHub, והסביר שהוא עובד על כל הגרסאות הנתמכות של Windows.
בנוסף, Naseri מסביר שלמרות שמדיניות קבוצתית עשויה להיות מוגדרת למנוע ממשתמשים עם הרשאות בסיסיות להשתמש ב-Windows Installer (MSI); הפגיעות החדשה עוקפת מדיניות זו ותפעל בכל מקרה. מטלפן בדק את ניצול InstallerFileTakeOver; וגילה שלקח לו רק כמה שניות לקבל הרשאות ברמת ה-SYSTEM מחשבון הבדיקה; עם הרשאות סטנדרטיות. הבדיקה בוצעה ב-Windows 10 21H1 עם מספר build 19043.1348.
נאסרי אמר שהוא חשף בפומבי את הפגיעות של יום האפס עקב תסכול מהקיצוץ בתוכנית הבאונטי של מיקרוסופט. תאגיד רדמונד לא הגיב על המצב בשום צורה. הם ככל הנראה יתקנו את הפגיעות עם עדכון התיקון הבא ביום שלישי.
מיקרוסופט תמשיך לעדכן את Windows 10 פעם בשנה
מיקרוסופט הודיעה על תחילת ההפצה של עדכון Windows 10 לנובמבר 2021 (21H2). יחד עם זאת, המפתחים אמרו כי בעתיד פלטפורמת התוכנה תקבל עדכונים גדולים אחת לשנה. משלוח עדכונים ל-Windows 11 זמין באותו אופן. לפיכך, העדכון הגדול הבא עבור Windows 10 ישוחרר רק במחצית השנייה של 2022, ולא במאי-יוני, כפי שהיה קודם.
"אנחנו עוברים ללוח זמנים חדש של עדכונים Windows 10 כדי לעמוד בקצב של Windows 11; שמתמקדת בקבלת עדכונים פונקציונליים מדי שנה. עדכון התכונה הבא עבור Windows 10 ישוחרר במחצית השנייה של 2022. אנו נמשיך לתמוך בגרסה אחת לפחות של Windows 10 עד ה-14 באוקטובר 2025." כך נאמר בהצהרה של מיקרוסופט.
למרות העובדה שהתוכניות העיקריות של מיקרוסופט קשורות ל-Windows 11; ענקית התוכנה תשחרר עדכונים פונקציונליים לגרסה הקודמת של הפלטפורמה למשך זמן רב. מעבר למהדורה שנתית של עדכונים פונקציונליים יהיו חדשות טובות עבור לקוחות ארגוניים; שצריכים לבדוק את החבילות שפרסמה מיקרוסופט לגבי תאימות לחומרה שלהם לפני התקנתן במכשירי המשתמש. שינוי זה גם יספק יותר זמן משמעותית לבדיקת עדכוני Insider; מאפשר למיקרוסופט לתקן כמה שיותר באגים לפני שהעדכונים יהיו זמינים לציבור.
