Il y a un nouveau patch pour Windows 10, mais il ne vient pas de Microsoft

Les bugs sont courants et Microsoft les résout généralement dans son Patch Tuesday. Pourtant, il semble que ce bogue particulier n'ait pas été résolu depuis un certain temps, de sorte que les chercheurs en cybersécurité ont ressenti le besoin d'en publier un.

Découvert à l'origine en 2020, le bogue avait le potentiel de prendre la forme d'une vulnérabilité de privilège local, mais il a été négligé depuis lors.

Mitja Kolsek, le fondateur du service de micro-patch 0patch, a également ignoré la vulnérabilité car elle n'était pas assez critique à l'époque.

Escalade

Actuellement suivi comme CVE-2021-24084, Kolsek détaille cela sur une vulnérabilité d'escalade de privilèges Windows corrigée suivie comme CVE 2021-36934. Dans des conditions spécifiques, il peut avoir une divulgation de fichier arbitraire et être mis à niveau pour une élévation des privilèges locaux.

La vulnérabilité Nasty Windows 10 obtient un correctif, mais pas de Microsoft https://t.co/qP19hMUEzk

— ComputerExpertOnline (@PC_ExpertOnline) 29 novembre 2021

Mise à niveau de bogue

En novembre, alors que le bogue n'était toujours pas corrigé, Abdelhamid a souligné dans son Twitter qu'il pourrait s'agir d'une vulnérabilité d'élévation de privilèges locale plutôt que d'un problème de divulgation d'informations.

Kolsek l'a confirmé plus tard en utilisant une procédure décrite dans un article de blog par Raj Chandel et explique pourquoi il est devenu nécessaire de corriger le bogue.

Bien que le correctif ne soit pas officiel, il fonctionnera sur toutes les versions affectées de Windows 10. Ce qui est encore mieux, c'est qu'il sera gratuit jusqu'à ce que Microsoft publie le correctif officiel.

Avez-vous rencontré le méchant bogue et utiliserez-vous le correctif non officiel? Faites-nous savoir dans la section commentaire ci-dessous.