Οι ερευνητές ασφαλείας της Google αποκάλυψαν σήμερα μια ευπάθεια zero-day στο λειτουργικό σύστημα Windows που χρησιμοποιείται ήδη στο διαδίκτυο.
Το zero-day αναμένεται να επιδιορθωθεί στις 10 Νοεμβρίου, που είναι η ημερομηνία του επόμενου Patch Tuesday της Microsoft, σύμφωνα με τον Ben Hawkes, επικεφαλής της ομάδας Project Zero, την ελίτ ερευνητική ομάδα της Google.
Στο Twitter, ο Hawkes είπε ότι το zero-day των Windows (έχει καταχωρηθεί σαν CVE-2020-17087) έχει χρησιμοποιηθεί ήδη σαν μέρος μιας επίθεσης δύο σημείων, μαζί με μια ένα άλλο zero-day του Chrome (έχει καταχωρηθεί σαν CVE-2020-15999) που η ομάδα του αποκάλυψε την προηγούμενη εβδομάδα.
Currently we expect a patch for this issue to be available on November 10. We have confirmed with the Director of Google's Threat Analysis Group, Shane Huntley (@ShaneHuntley), that this is targeted exploitation and this is not related to any US election related targeting.
— Ben Hawkes (@benhawkes) October 30, 2020
Το Chrome zero-day χρησιμοποιήθηκε για να επιτρέψει στους εισβολείς να τρέχουν κακόβουλο κώδικα μέσα στο Chrome, ενώ το Windows zero-day ήταν το δεύτερο μέρος αυτής της επίθεσης, που επέτρεπε στους επιτιθέμενους να ξεφύγουν από το ασφαλές κοντέινερ του Chrome και να τρέξουν κώδικα στο λειτουργικό σύστημα του θύματος.
Η ομάδα του Google Project Zero ενημέρωσε τη Microsoft την περασμένη εβδομάδα και έδωσε στην εταιρεία επτά ημέρες για να επιδιορθώσει το σφάλμα. Οι λεπτομέρειες για την ευπάθεια δημοσιεύθηκαν σήμερα, καθώς η Microsoft δεν κυκλοφόρησε κάποια ενημέρωση στον προκαθορισμένο χρόνο.
Σύμφωνα με την Google, το zero-day είναι ένα σφάλμα στον πυρήνα των Windows που μπορεί να αξιοποιηθεί για την ανύψωση του προνομίων ενός εισβολέα.
Σύμφωνα με την αναφορά, η ευπάθεια επηρεάζει όλες τις εκδόσεις των Windows από τα Windows 7 μέχρι και την πιο πρόσφατη έκδοση των Windows 10.
Ο Hawkes δεν έδωσε λεπτομέρειες για το ποιος χρησιμοποίησε αυτές τις δύο ευπάθειες, αλλά συνήθως, τα περισσότερα zero-day ανακαλύπτονται από ομάδες hacking που χρηματοδοτούνται από κράτη ή μεγάλες ομάδες εγκληματιών στον κυβερνοχώρο.
Σύμφωνα με την Google, οι επιθέσεις επιβεβαιώθηκαν και από μια δεύτερη ομάδα ασφαλείας της εταιρείας, την Ομάδα Ανάλυσης Απειλών της Google (Threat Analysis Group ή απλά TAG).
Ο Shane Huntley, διευθυντής της Google TAG, δήλωσε ότι οι επιθέσεις δεν φαίνεται σχετίζονται με τις εκλογές των ΗΠΑ.
Το Chrome zero-day διορθώθηκε με την έκδοση 86.0.4240.111 του browser της Google.