O projeto zero do Google diz que os hackers têm explorado ativamente um Windows zero hoje que não deve ser corrigido até quase duas semanas a partir de agora.
Seguindo a política de longa data, o grupo de pesquisa de vulnerabilidade do Google deu à Microsoft um prazo de sete dias para consertar a falha de segurança porque ela está sob exploração ativa. Normalmente, o Project Zero revela vulnerabilidades após 90 dias ou quando um patch é disponibilizado, o que ocorrer primeiro.
O CVE-2020-117087, à medida que a vulnerabilidade é rastreada, permite que os invasores aumentem os privilégios do sistema. Os invasores estavam combinando um exploit para ele com outro que visava um falha corrigida recentemente no Chrome. O primeiro permitiu que o último escapasse de uma caixa de proteção de segurança para que o último pudesse executar o código em máquinas vulneráveis.
CVE-2020-117087 decorre de um estouro de buffer em uma parte do Windows usada para funções criptográficas. Seus controladores de entrada / saída podem ser usados para canalizar dados para uma parte do Windows que permite a execução de código. A postagem de sexta-feira indicou que a falha está no Windows 7 e no Windows 10, mas não fez referência a outras versões.
“O driver de criptografia do kernel do Windows (cng.sys) expõe um dispositivo Device CNG a programas em modo de usuário e oferece suporte a uma variedade de IOCTLs com estruturas de entrada não triviais”, disse o post do Project Zero de sexta-feira. “Constitui uma superfície de ataque acessível localmente que pode ser explorada para o aumento de privilégios (como escape de sandbox).”
A redação técnica incluiu um código de prova de conceito que as pessoas podem usar para travar máquinas com Windows 10.
A falha do Chrome que foi combinada com CVE-2020-117087 residia na biblioteca de renderização de fontes FreeType incluída no Chrome e em aplicativos de outros desenvolvedores. A falha do FreeType foi corrigida 11 dias atrás. Não está claro se todos os programas que usam FreeType foram atualizados para incorporar o patch.
O Project Zero disse que espera que a Microsoft conserte a vulnerabilidade em 10 de novembro, que coincide com a terça-feira de atualização daquele mês. Em um comunicado, funcionários da Microsoft escreveram:
A Microsoft tem o compromisso do cliente de investigar os problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes. Enquanto trabalhamos para cumprir os prazos de divulgação de todos os pesquisadores, incluindo prazos de curto prazo como neste cenário, desenvolver uma atualização de segurança é um equilíbrio entre pontualidade e qualidade, e nosso objetivo final é ajudar a garantir a máxima proteção ao cliente com o mínimo de interrupção do cliente.
Um representante disse que a Microsoft não tem evidências de que a vulnerabilidade está sendo amplamente explorada e que a falha não pode ser explorada para afetar a funcionalidade criptográfica. A Microsoft não forneceu nenhuma informação sobre as etapas que os usuários do Windows podem seguir até que uma correção esteja disponível.
Ben Hawkes, líder técnico do Projeto Zero defendeu a prática de divulgar os dias zero dentro de uma semana após serem ativamente explorados.
Uma ideia rápida: achamos que há uma utilidade defensiva em compartilhar esses detalhes e que ataques oportunistas usando esses detalhes entre agora e o patch que está sendo lançado são razoavelmente improváveis (até agora ele foi usado como parte de uma cadeia de exploit, e o ataque de ponto de entrada está consertado)
O curto prazo para exploit in-the-wild também tenta incentivar patches fora de banda ou outras mitigações sendo desenvolvidas / compartilhadas com urgência. Essas melhorias que você pode esperar ver em um período de longo prazo.
O curto prazo para exploit in-the-wild também tenta incentivar patches fora de banda ou outras mitigações sendo desenvolvidas / compartilhadas com urgência. Essas melhorias que você pode esperar ver em um período de longo prazo.
– Ben Hawkes (@benhawkes) 30 de outubro de 2020
Não há detalhes sobre as explorações ativas, a não ser que “não estejam relacionadas a nenhuma seleção de alvos nos EUA”.