Le projet zéro de Google indique que les pirates informatiques exploitent activement un Windows Zeroday qui ne sera probablement pas corrigé avant presque deux semaines.

Conformément à la politique de longue date, le groupe de recherche sur les vulnérabilités de Google a donné à Microsoft un délai de sept jours pour corriger la faille de sécurité, car elle est sous exploitation active. Normalement, Project Zero divulgue les vulnérabilités après 90 jours ou lorsqu’un correctif est disponible, selon la première éventualité.

CVE-2020-117087, lors du suivi de la vulnérabilité, permet aux attaquants d’élever les privilèges système. Les attaquants combinaient un exploit pour lui avec un autre ciblant un faille récemment corrigée dans Chrome. Le premier permettait au second d’échapper à un bac à sable de sécurité afin que le second puisse exécuter du code sur des machines vulnérables.

La CVE-2020-117087 découle d’un débordement de tampon dans une partie de Windows utilisée pour les fonctions cryptographiques. Ses contrôleurs d’entrée / sortie peuvent être utilisés pour diriger des données dans une partie de Windows qui permet l’exécution de code. Le message de vendredi indiquait que la faille se trouvait dans Windows 7 et Windows 10, mais ne faisait aucune référence à d’autres versions.

« Le pilote de cryptographie du noyau Windows (cng.sys) expose un périphérique Device CNG à des programmes en mode utilisateur et prend en charge une variété d’IOCTL avec des structures d’entrée non triviales, » Friday’s Projet Zero post m’a dit. «Il s’agit d’une surface d’attaque accessible localement qui peut être exploitée pour l’escalade de privilèges (comme l’échappement du bac à sable).

La rédaction technique comprenait un code de preuve de concept que les gens peuvent utiliser pour planter des machines Windows 10.

La faille Chrome qui a été combinée avec CVE-2020-117087 résidait dans le Bibliothèque de rendu de polices FreeType qui est inclus dans Chrome et dans les applications d’autres développeurs. La faille FreeType était fixé Il y a 11 jours. Il n’est pas clair si tous les programmes qui utilisent FreeType ont été mis à jour pour incorporer le correctif.

Project Zero a déclaré qu’il s’attend à ce que Microsoft corrige la vulnérabilité le 10 novembre, ce qui coïncide avec la mise à jour de ce mois-là mardi. Dans une déclaration, les responsables de Microsoft ont écrit:

Microsoft s’est engagé à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients. Bien que nous nous efforcions de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans ce scénario, le développement d’une mise à jour de sécurité est un équilibre entre la rapidité et la qualité, et notre objectif ultime est de contribuer à assurer une protection maximale des clients avec une perturbation minimale des clients.

Un représentant a déclaré que Microsoft n’a aucune preuve que la vulnérabilité est largement exploitée et que la faille ne peut pas être exploitée pour affecter la fonctionnalité cryptographique. Microsoft n’a fourni aucune information sur les étapes que les utilisateurs de Windows peuvent suivre jusqu’à ce qu’un correctif soit disponible.

Ben Hawkes, responsable technique de Project Zero défendu la pratique consistant à divulguer les zéros dans la semaine suivant leur exploitation active.

La prise rapide: nous pensons qu’il y a une utilité défensive à partager ces détails, et que les attaques opportunistes utilisant ces détails d’ici la publication du correctif sont raisonnablement peu probables (jusqu’à présent, elles ont été utilisées dans le cadre d’une chaîne d’exploit, et l’attaque du point d’entrée c’est réglé)

Le court délai pour l’exploit dans la nature tente également d’inciter les correctifs hors bande ou d’autres mesures d’atténuation développées / partagées de toute urgence. Ces améliorations que vous pourriez vous attendre à voir sur une période plus longue.

Il n’y a aucun détail sur les exploits actifs autre que celui-ci « n’est lié à aucun ciblage lié aux élections américaines ».