Специалист по информационна безопасност е открил и публично показа как може да се използва опасна дупка налична във всички поддържани версии на Windows - 10, 11 и Server. Обикновено при разкриване на критични пробойни, белите хакери дават известно време на Microsoft, за да може дупката да бъде запушена преди да бъде обявена. Тук обаче има предистория, която обяснява действията на специалиста.
Въпросният експерт първоначално разкрива опасна дупка, която позволява промяна на правата чрез инсталатора на Windows и бе класифицирана като CVE-2021-41379. Microsoft пуснаха кръпка за въпросната уязвимост, но същият експерт намери начин за заобикаляне на този пач и представи нова, още по-мощна уязвимост от типа нулев ден за повишаване на правата. От Майкрософт предприеха странен ход, като значителното
намалиха премиите и възнагражденията в рамките на програмата за открити уязвимости и бъгове в техния софтуер. Така белите хакери не са стимулирани да инвестират времето и знанията си, за да подобряват сигурността в Windows, а при разкрита дупка им е
по-изгодно да я продадат на черния пазар на някоя криминална организация. Именно за да обърне внимание на това, експерта е публикувал информация за опасната дупка без да изчака Microsoft да я запушат. Това излага милиони потребители и компании на огромен риск, защото уязвимостта вече лесно може да бъде експлоатирана от всеки, а засега няма пач за нея. Ситуацията е особено опасна, защото са
необходими само няколко секунди, за да може атакуващата страна да получи администраторски права от стандартен акаунт.