I ricercatori di Bleeping Computer hanno scoperto una falla all’interno degli ultimi sistemi operativi di Microsoft, ovvero Windows 10, Windows 11 (ufficializzata di recente) e Windows Server. In particolare, la vulnerabilità zero-day (una dicitura che viene utilizzata per indicare una falla scoperta dai ricercatori di sicurezza prima dei fornitori del software e pertanto “scoperta” in termini di patch) sembra riguardare Windows Installer: la falla permette ai malintenzionati di ottenere l’elevazione dei privilegi.
Secondo il ricercatore Abdelhamid Naceri, i recenti aggiornamenti rilasciati dal colosso di Redmond non riescono a risolvere il problema, in quanto il colosso di Redmond non è intervenuto per correggere la vulnerabilità. In un video diffuso proprio da Bleeping Computer si nota come l’exploit vada ad aprire un prompt dei comandi con privilegi SYSTEM sfruttando un account con privilegi standard. Sempre Naceri consiglia di non utilizzare soluzioni di terze parti ma di attendere il rilascio di una nuova patch da parte di Microsoft.
Dal canto suo, l’azienda statunitense ha fatto sapere che presto rilascerà le correzioni che consentiranno di eliminare il problema. Al tempo stesso, il gigante USA è piuttosto infastidito dal comportamento di Naceri, che ha reso pubblica la criticità senza informare Microsoft: pare che il ricercatore abbia voluto muoversi in tal senso come forma di protesta per le ricompense sempre più ridotte in Microsoft Bug Bounty, il programma che elargisce ricompense agli sviluppatori che individuano bug.