O dia zero deve ser corrigido em 10 de novembro, que é a data da próxima Patch Tuesday da Microsoft, de acordo com Ben Hawkes, chefe da equipe do Project Zero, equipe de pesquisa de vulnerabilidade de elite do Google.
No Twitter, Hawkes disse que o dia zero do Windows (rastreado como CVE-2020-17087 ) foi usado como parte de um ataque de dois socos, junto com outro um dia zero do Chrome (rastreado como CVE-2020-15999 ) que sua equipe divulgado na semana passada .
O dia zero do Chrome foi usado para permitir que os invasores executassem códigos maliciosos dentro do Chrome, enquanto o dia zero do Windows foi a segunda parte desse ataque, permitindo que os agentes de ameaças escapassem do contêiner seguro do Chrome e executassem o código no sistema operacional subjacente – em que especialistas em segurança chamam um escape sandbox.
A equipe do Google Project Zero notificou a Microsoft na semana passada e deu à empresa sete dias para corrigir o bug. Os detalhes foram publicados hoje, já que a Microsoft não lançou um patch no tempo previsto.
De acordo com o relatório do Google , o dia zero é um bug no kernel do Windows que pode ser explorado para elevar o código de um invasor com permissões adicionais.
De acordo com o relatório, a vulnerabilidade afeta todas as versões do Windows entre o Windows 7 e a versão mais recente do Windows 10.
Código de prova de conceito para reproduzir ataques também foi incluído.
Hawkes não forneceu detalhes sobre quem estava usando esses dois dias-zero. Normalmente, a maioria dos dias zero é descoberta por grupos de hackers patrocinados por países ou grandes grupos de crimes cibernéticos.
De acordo com o mesmo relatório do Google, os ataques também foram confirmados por uma segunda equipe de segurança do Google, o Threat Analysis Group (TAG) do Google.
Shane Huntley, diretor do Google TAG, disse que os ataques não estão relacionados às eleições nos EUA.
O bug do Chrome foi corrigido na versão 86.0.4240.111 do Chrome.
Esta é a segunda vez que o Google divulga um ataque em duas frentes que envolveu um Windows e um Chrome zero-day. Em março de 2019, o Google disse que os agentes da ameaça também combinaram um dia zero do Chrome (CVE-2019-5786) com um dia zero do Windows (CVE-2019-0808).
Fonte: https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…