Er is een nieuwe patch voor Windows 10, maar deze is niet van Microsoft

Bugs komen vaak voor, en Microsoft lost dergelijke meestal op in hun Patch Tuesday. Toch lijkt het erop dat deze specifieke bug al een tijdje niet is aangepakt, zodat cyberbeveiligingsonderzoekers de behoefte voelden om er een vrij te geven.

Oorspronkelijk ontdekt in 2020, had de bug het potentieel om de vorm aan te nemen van een lokale privilege-kwetsbaarheid, maar het is sindsdien over het hoofd gezien.

Mitja Kolsek, de oprichter van de micropatchservice 0patch, negeerde de kwetsbaarheid ook omdat deze op dat moment niet kritisch genoeg was.

Escalatie

Momenteel bijgehouden als CVE-2021-24084, beschrijft Kolsek dat op een vast Windows-beveiligingslek bij escalatie van bevoegdheden wordt bijgehouden als CVE 2021-36934. Onder specifieke omstandigheden kan het een willekeurige bestandsopenbaarmaking hebben en worden geüpgraded voor lokale escalatie van bevoegdheden.

Nare kwetsbaarheid in Windows 10 krijgt patch, maar niet van Microsoft https://t.co/qP19hMUEzk

— ComputerExpertOnline (@PC_ExpertOnline) 29 november 2021

Bug-upgrade

In november, toen de bug nog niet was gepatcht, wees Abdelhamid erop in zijn... Twitter dat het een kwetsbaarheid voor lokale escalatie van bevoegdheden kan zijn in plaats van een probleem met het vrijgeven van informatie.

Kolsek bevestigde dit later met behulp van een procedure beschreven in a blogpost door Raj Chandel en legt uit waarom de noodzaak ontstond om de bug te patchen.

Hoewel de patch niet-officieel is, zal deze werken op alle getroffen versies van Windows 10. Wat nog beter is, is dat het gratis is totdat Microsoft de officiële oplossing uitbrengt.

Ben je de vervelende bug tegengekomen en ga je de niet-officiële patch gebruiken? Laat het ons weten in de commentaarsectie hieronder.