Hackerii exploatează vulnerabilitatea, în combinație cu o eroare Chrome separată, pentru a lansa atacuri.

Cercetătorii din Proiectul Zero Google au dezvăluit detalii despre o nouă eroare Windows zero-day pe care, spun ei, hackerii o exploatează acum pentru a rula programe rău intenționate pe mașinile Windows pentru a fura informații sensibile.

Indexat ca CVE-2020-17087, eroarea afectează cel puțin Windows 7 și Windows 10, potrivit Google. Atacatorii pot folosi eroarea pentru a escalada privilegiile sistemului. Vulnerabilitatea apare din cauza unei depășiri de buffer tampon într-o componentă Windows utilizată pentru funcțiile criptografice.

“Driverul de criptografie Windows Kernel (cng.sys) expune un dispozitiv \ Device \ CNG programelor în modul utilizator și acceptă o varietate de IOCTL-uri cu structuri de intrare non-banale”, a declarat echipa Project Zero într-un post .

„Constituie o suprafață de atac accesibilă la nivel local, care poate fi exploatată pentru escaladarea privilegiilor (cum ar fi evadarea în sandbox)”, au adăugat ei.

Cercetătorii Google au furnizat, de asemenea, un cod drept dovadă a conceptului (PoC) care poate fi folosit pentru a bloca mașinile Windows 10.

Cercetătorii spun că infractorii cibernetici au folosit un exploit pentru CVE-2020-17087, în combinație cu un bug Chrome remediat recent, pentru a lansa atacuri.

CVE-2020-17087 permite vulnerabilității Chrome (indexată ca CVE-2020-15999) să ocolească un sandbox de securitate pentru a rula codul pe sistemele vulnerabile. Bug-ul Chrome a fost remediat de Google săptămâna trecută.

Shane Huntley, directorul serviciilor de informații privind amenințările Google, a dezvăluit că atacurile efectuate cu ajutorul CVE-2020-17087 au fost „vizate” și nu legate de alegerile prezidențiale din SUA.

Microsoft este de așteptat să lanseze un patch pentru Windows zero-day bug – ul cu 10 noiembrie, potrivit Ben Hawkes, team leader al proiectului Zero.

Deoarece bug-ul este în prezent exploatat, Google Project Zero a acordat Microsoft șapte zile pentru a lansa un patch pentru defect. De obicei, cercetătorii Google dezvăluie detaliile erorilor după 90 de zile sau când devine disponibil un patch.

Într-un comunicat, Microsoft a declarat că s-a angajat să „investigheze problemele de securitate raportate și să actualizeze dispozitivele afectate pentru a proteja clienții”.

Compania a subliniat că eliberarea unei soluții de securitate pentru eroare necesită un echilibru între calitate și actualitate și că obiectivul lor final este de a se asigura că clienții beneficiază de protecție maximă cu o întrerupere minimă.

Dezvăluirea erorilor vine în timp ce Microsoft a avertizat săptămâna trecută că încă primea rapoarte despre hackeri care încercau să fure acreditări de domeniu, folosind vulnerabilitatea de securitate Windows Zerologon .

La începutul lunii martie, cercetătorii independenți au dezvăluit detalii despre bug-ul de securitate CVE-2020-0796 (SMBGhost) , care afectează protocolul de comunicație de rețea SMBv3 (Server Message Block 3.0) în unele versiuni ale sistemelor de operare Windows Server și Windows 10.

Microsoft a avertizat în acel moment că vulnerabilitatea ar putea permite atacatorilor să se conecteze la sistemele la distanță care au SMB activat și să execute coduri rău intenționate cu privilegii complete.

sursa : www.computing.co.uk