Google Project Zero раскрыл 0-day уязвимость в Windows
Project Zero, функционирующий в рамках Google, сообщил о том, что хакеры активно эксплуатируют уязвимость нулевого дня, которую вряд ли пропатчат в течение ближайших двух недель.
Обычно Project Zero раскрывает информацию о найденных уязвимостях не ранее 90 дней после обнаружения или сразу после выхода патча. Однако сейчас, поскольку уязвимость уже активно эксплуатируется, Google в соответствии со своими правилами требует от Microsoft выдачи патча в минимальный срок — в течение 7 дней.
CVE-2020–117087, такой номер был присвоен уязвимости, позволяет атакующим повысить системные привилегии. На данный момент хакеры комбинируют этот эксплойт с еще одним, который связан с недавно пропатченной уязвимостью в Chrome. Она позволяла обойти песочницу и запускать вредоносный код на уязвимых хостах.
CVE-2020–11708 основывается на переполнении буфера в криптографических функциях Windows, которая может привести к записи в участок памяти, для которого не запрещено исполнение кода. В посте Project Zero сообщается о том, что уязвимости подвержены Windows 7 и Windows 10, другие версии не упоминаются.
«Криптографический драйвер (cng.sys) представляет пользовательским программам доступ к устройству \Device\CNG и поддерживает набор команд (IOCTL) со сложной структурой запросов, — говорится в сообщении Project Zero. — Это создает основу для повышения привилегий атакующими, например, в обход песочницы».
Техническое описание уязвимости включает proof of concept, применимый для Windows 10.
Представитель Microsoft заявил, что на данный момент нет свидетельств того, что уязвимость широко эксплуатируется или что она может нанести ущерб реализации криптографических функций. Компания не предоставила информации о тех шагах, которые пользователи могут предпринять, чтобы обезопасить себя, пока не выйдет патч.
Источник