Windows : un chercheur se fait « black hat »

Les développeurs de malware et autres acteurs malveillants sont déjà en train de tester leurs PoCs pour une vulnérabilité zero-day dévoilée ce weekend. La particularité de cette faille ? C’est un chercheur en sécurité qui l’a rendue publique, celui-ci se déclarant découragé par le faible montant des récompenses du bug bounty de Microsoft.

Abdelhamid Naceri est un chercheur en sécurité marocain à l’origine de plusieurs dizaines de CVE. Pourtant, cet indépendant vient jouer les black hats. Il a publié sur GitHub les détails relatifs à une vulnérabilité. CVE-2021-41379 avait déjà été patché par Microsoft dans son patch Tuesday de novembre. Cette faille permet une élévation en privilèges sur Windows 10, 11 et Server 2022.

Malgré le correctif, le chercheur a trouvé le moyen de contourner le correctif pour exploiter la vulnérabilité. Et ce dimanche, il met en ligne InstallerFileTakeOver, un PoC fonctionnel pour cette nouvelle zero-day. Selon Talos, elle est d’ores et déjà exploitée par des acteurs malveillants, non dans le cadre de campagnes mais afin de tester leurs malwares et autres techniques.

« La meilleure solution de contournement disponible au moment de la rédaction de cet article est d'attendre que Microsoft publie un correctif de sécurité, en raison de la complexité de cette vulnérabilité » explique le chercheur sur GitHub. « Vous feriez donc mieux d'attendre et de voir comment Microsoft va à nouveau foirer le patch ».

 

Car le chercheur, par cette publication, se venge de Redmond dont il estime qu’il ne paie pas assez les chercheurs. « Avant avril 2020, j’aurais pu espérer une somme entre 8 000 et 20 000 dollars pour une faille de ce type. Aujourd’hui, j’ai juste droit à un merci » explique-t-il à ZDNet. Ce n’est pas la première fois que le programme de bug bounty de Microsoft est sous le feu des critiques.

Ainsi, l’un des chercheurs à l’origine de la découverte de PrintNightmare s’était plaint que Microsoft lui avait accordé 5000 dollars. Et encore, de dures luttes. « Je ne recherche pas pour les $. Mais cela me donne l'impression que mon travail est sous-estimé » écrivait-il plus tôt en novembre.