Les chercheurs de Google Project Zero ont divulgué des détails sur une vulnérabilité zero-day dans Windows qui, selon eux, est exploité par des attaquants.

La faille de corruption de la mémoire réside dans le pilote de cryptographie du noyau Windows (cng.sys) et, selon Google, «constitue une surface d’attaque accessible localement qui peut être exploitée pour une élévation de privilèges (comme l’échappement de sandbox)».

Les chercheurs ont également publié un code de preuve de concept (PoC) qu’ils avaient testé sur une version récente de Windows 10 (version 1903, 64 bits) et pensent que le bogue de sécurité aurait pu exister depuis Windows 7, ce qui signifie que toutes les versions de Windows 7 à 10 pourraient être affectées.

Par rapports des médias, la faille est exploitée en conjonction avec un autre jour zéro, qui est indexée comme CVE-2020-15999 et affecte FreeType, une bibliothèque de développement de logiciels largement utilisée qui fait également partie de Google Chrome.

Google a signalé la découverte du bogue nouvellement trouvé, qui est suivi comme CVE-2020-17087, à Microsoft, mais comme il a trouvé des preuves de l’exploitation de la faille dans la nature, il a opté pour un court délai de divulgation de sept jours.

Le patch est encore dans quelques jours

Actuellement, la faille de sécurité n’a pas de correctif, mais le responsable technique de Project Zero Ben Hawkes tweeté qu’ils s’attendent à ce qu’il soit publié le 10 novembre^e, qui coïncide avec le prochain Patch Tuesday.

Le court délai pour l’exploit dans la nature tente également d’inciter les correctifs hors bande ou d’autres mesures d’atténuation développées / partagées de toute urgence. Ces améliorations que vous pourriez vous attendre à voir sur une période plus longue.

– Ben Hawkes (@benhawkes) 30 octobre 2020

Microsoft, quant à lui, a fourni cette déclaration à TechCrunch:

«Microsoft s’est engagé à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients. Alors que nous nous efforçons de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans ce scénario, le développement d’une mise à jour de sécurité est un équilibre entre la rapidité et la qualité, et notre objectif ultime est de contribuer à assurer une protection maximale des clients avec une perturbation minimale des clients. « 

Un porte-parole de l’entreprise est également allé ajouter que l’attaque semble être assez limitée et qu’il n’y a aucune preuve indiquant qu’il s’agit d’un problème répandu. On pense que les attaques sont sans rapport avec la prochaine élection présidentielle américaine.

Depuis le début de cette année, Microsoft a divulgué et corrigé plusieurs bogues graves dans Windows, dont un paire de zéro-jour retour en mars et une vulnérabilité découvert par la National Security Agency des États-Unis (NSA).