Un pirate au pseudonyme SandboxEscaper a dévoilé une vulnérabilité jour zéro affectant Windows 10 et Windows Server 2016, y compris les versions entièrement à jour. Windows 7 et Windows 8 ne semblent pas affectés. En voici une vidéo de démonstration:

Will Dormann, un analyste du CERT Coordination Center, a confirmé que l’exploit fonctionne:

Il s’agit d’une vulnérabilité de sécurité de type élévation de privilège, qui affecte la fonction SetJobFileSecurityByName (), et qui permet à toute personne authentifiée de gagner les privilèges SYSTEM, d’après la note VU#119704 .

Il ne reste plus qu’à attendre que Microsoft développe, teste et distribue un correctif de sécurité au plus vite.

Le pirate se vante d’avoir d’autres vulnérabilités jour zéro affectant Windows en réserve, et propose même de les vendre…

Quelques heures plus tard, il publie deux autres vulnérabilité jour zéro,

Le dépôt de code sur GitHub a été effacé ou bloqué, et le blogue du pirate n’est plus disponible. Il aurait notamment écrit :

« La société humaine me dégoûte profondément. »