O dia zero deve ser corrigido em 10 de novembro, que é a data da próxima Patch Tuesday da Microsoft, de acordo com Ben Hawkes, chefe da equipe do Project Zero, equipe de pesquisa de vulnerabilidade de elite do Google.
No Twitter, Hawkes disse que o dia zero do Windows (rastreado como CVE-2020-17087 ) foi usado como parte de um ataque de dois socos, junto com outro um dia zero do Chrome (rastreado como CVE-2020-15999 ) que sua equipe divulgado na semana passada .
O dia zero do Chrome foi usado para permitir que os invasores executassem códigos maliciosos dentro do Chrome, enquanto o dia zero do Windows foi a segunda parte desse ataque, permitindo que os agentes de ameaças escapassem do contêiner seguro do Chrome e executassem o código no sistema operacional subjacente – em que especialistas em segurança chamam um escape sandbox.
A equipe do Google Project Zero notificou a Microsoft na semana passada e deu à empresa sete dias para corrigir o bug. Os detalhes foram publicados hoje, já que a Microsoft não lançou um patch no tempo previsto.
De acordo com o relatório do Google , o dia zero é um bug no kernel do Windows que pode ser explorado para elevar o código de um invasor com permissões adicionais.
De acordo com o relatório, a vulnerabilidade afeta todas as versões do Windows entre o Windows 7 e a versão mais recente do Windows 10.
Código de prova de conceito para reproduzir ataques também foi incluído.
Hawkes não forneceu detalhes sobre quem estava usando esses dois dias-zero. Normalmente, a maioria dos dias zero é descoberta por grupos de hackers patrocinados por países ou grandes grupos de crimes cibernéticos.
De acordo com o mesmo relatório do Google, os ataques também foram confirmados por uma segunda equipe de segurança do Google, o Threat Analysis Group (TAG) do Google.
Shane Huntley, diretor do Google TAG, disse que os ataques não estão relacionados às eleições nos EUA.
O bug do Chrome foi corrigido na versão 86.0.4240.111 do Chrome.
Esta é a segunda vez que o Google divulga um ataque em duas frentes que envolveu um Windows e um Chrome zero-day. Em março de 2019, o Google disse que os agentes da ameaça também combinaram um dia zero do Chrome (CVE-2019-5786) com um dia zero do Windows (CVE-2019-0808).
Fonte: https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…