Эксперт по кибербезопасности Абдельхамид Насери обнаружил уязвимость в ОС Windows, которая дает возможность любому пользователю локального PC получить права администратора. Согласно сведениям Bleeping Computer, брешь есть во всех актуальных версиях операционной системы Microsoft, включая Windows 10, Windows 11 и Windows Server 2022.
Исследователь представил код эксплойта в публично доступном репозитории хостинга проектов Github. Он не стал сообщать Microsoft о проблеме. Свой поступок Насери поясняет тем, что компания стала умышленно снижать размер вознаграждения за поиск уязвимостей.
Специалист считает, что невзирая на недавний патч от разработчика, он обнаружил способ не только повысить уровень доступа у пользователя с помощью установщика Windows, но и сделать его администратором.
В Bleeping Computer проверили эксплойт Насери. Было отмечено, что на Windows 10 версии 21H1 (сборка 19043.1348) программа отработала лишь несколько секунд, после чего полномочия аккаунта повысились до системного уровня (System), то есть администратора.
Права администратора дают возможность управлять всеми действиями на устройстве без ограничений, включая установку любых приложений и свободное распоряжение информацией других пользователей.
