Google a divulgué les détails d’une nouvelle faille d’escalade de privilèges zero-day dans le système d’exploitation Windows qui est activement exploitée dans la nature.
La vulnérabilité d’élévation des privilèges (EoP), suivie comme CVE-2020-17087, concerne un buffer overflow présent depuis au moins Windows 7 dans le pilote de cryptographie du noyau Windows (« cng.sys ») qui pourrait être exploité pour une sortie sandbox.
« Le bogue réside dans la fonction cng! CfgAdtpFormatPropertyBlock et est causé par un problème de troncature d’entiers 16 bits », ont noté Mateusz Jurczyk et Sergei Glazunov, chercheurs de Google Project Zero dans leur rédaction technique.
L’équipe de sécurité a rendu les détails publics après un délai de divulgation de sept jours en raison de preuves qu’il est exploité activement.
Project Zero a partagé un exploit de preuve de concept (PoC) qui peut être utilisé pour corrompre les données du noyau et faire planter des périphériques Windows vulnérables, même dans les configurations système par défaut.
Ce qui est remarquable, c’est que la chaîne d’exploit nécessite de relier CVE-2020-17087 à un autre navigateur Chrome zero-day (CVE-2020-15999) qui a été corrigé par Google la semaine dernière.
Le jour zéro de Chrome implique un débordement de mémoire tampon dans la bibliothèque de polices Freetype pour exécuter du code malveillant dans le navigateur, mais le nouveau jour zéro de Windows permet à un attaquant de sortir des protections du bac à sable de Chrome et d’exécuter le code sous Windows. – également appelé évasion de bac à sable.
Déclarant que l’exploitation n’est « liée à aucun ciblage lié aux élections américaines », Ben Hawkes, de Project Zero, a déclaré qu’un correctif pour la faille devrait être publié par Microsoft le 10 novembre.
Hawkes aussi défendu la pratique de divulguer les zéro-jours dans la semaine suivant leur exploitation active.
« Nous pensons qu’il est utile de partager ces détails et que les attaques opportunistes utilisant ces détails d’ici la publication du correctif sont raisonnablement improbables (jusqu’à présent, elles ont été utilisées dans le cadre d’une chaîne d’exploit et l’attaque du point d’entrée est corrigée) , » il a dit.
« La courte échéance pour l’exploit in-the-wild tente également d’inciter les correctifs hors bande ou d’autres atténuations en cours de développement / partage de toute urgence. Ces améliorations que vous pourriez vous attendre à voir sur une période plus longue », a ajouté Hawkes.
