安全研究人員 @MalwareTechBlog 在推特上吐槽道：由於微軟調整了漏洞賞金計劃，其原本想提交的一個影響所有受支援 Windows 操作系統版本的提權漏洞的”認定價值”，也從 10000 美元瞬間跌到了 1000 美元。 Abdelhamid Naceri 在接受 Bleeping Computer 採訪時稱，大家對微軟的新漏洞賞金政策感到十分沮喪。

Windows 提權漏洞的簡易演示

據悉，自 2020 年 4 月以來，微軟的漏洞賞金計劃就已經變得”一文不值”。 如果這家軟體巨頭沒有下調賞金價值，以 Abdelhamid Naceri 為代表的安全研究人員，也不會怒而曝光零日漏洞。

其他安全研究人員附和道：Naceri 披露的漏洞，很容易讓普通使用者提取並獲得 SYSTEM 系統許可權。 更讓人感到震驚的是，該漏洞利用是基於微軟的補丁而開發的。

（概念驗證：GitHub）

具體說來是，Naceri 在分析CVE-2021-41379補丁時發現了這個漏洞。 然而微軟並未正確修復相關錯誤、或選擇另一條技術路線，結果導致變種漏洞的危害性比之前更強。

Naceri 在文章中解釋稱，「安裝器檔接管」（InstallerFileTakeOver）漏洞影響 Windows 10、Windows 11 和 Windows Server 等多個仍受支援的操作系統版本。

New Windows zero-day local privilege elevation vulnerability（via）

雖然漏洞本身”並不完整”，但別有用心的攻擊者還是可以結合其它漏洞利用路徑，來實現對計算機網路的完全接管。

遺憾的是，截止 Bleeping Computer 發稿時，微軟官方都沒有就此事給出任何回應。