Googles Project Zero afslører 0-dagssårbarhed i Windows

Sikkerhedsfejl lader angribere undslippe sandkasser, som er designet til at indeholde ondsindet kode.

Googles projekt Zero oplyser, at hackere aktivt har udnyttet en Windows 0-dagssårbarhed, der sandsynligvis ikke bliver patched før om to uger. Det skriver en række medier, herunder Bleeping Computer og Security Affairs.

CVE-2020-117087 stammer fra et bufferoverløb i en del af Windows, der bruges til kryptografiske funktioner. Dens input / output-controllere kan bruges til at få data ind i en del af Windows, der tillader udførelse af kode.

Sårbarheden giver angribere mulighed for at eskalere systemrettigheder ved at kombinere en udnyttelse af det med et separat angreb mod en fejl i Chrome, der for nylig er blevet rettet. Det er således en kombination af udnyttelse af to sårbarheder, hvor fejlen i Chrome tillader, at man kommer igennem til en sandkasse, hvor der kan afvikles kode på sårbare maskiner.

Det fremgår af, at Project Zero forventer, at sårbarheden laves ifm. næste Patch Tuesday den 10. november. Microsoft har dog meddelt, at de ikke har set bevis for, at sårbarheden udnyttes bredt, ligesom de heller ikke oplyser, hvilke skridt Windows-brugere kan tage, før en rettelse er tilgængelig.

Links:

https://www.bleepingcomputer.com/news/security/windows-kernel-zero-day-vulnerability-used-in-targeted-attacks/
https://securityaffairs.co/wordpress/110193/hacking/google-discloses-windows-zero-day.html>
https://www.securityweek.com/google-discloses-actively-targeted-windows-vulnerability>
https://www.theregister.com/2020/10/30/windows_kernel_zeroday/