O dia zero deve ser corrigido em 10 de novembro, que é a data da próxima Patch Tuesday da Microsoft, de acordo com Ben Hawkes, chefe da equipe do Project Zero, equipe de pesquisa de vulnerabilidade de elite do Google.
No Twitter, Hawkes disse que o dia zero do Windows (rastreado como CVE-2020-17087 ) foi usado como parte de um ataque de dois socos, junto com outro um dia zero do Chrome (rastreado como CVE-2020-15999 ) que sua equipe divulgado na semana passada .
O dia zero do Chrome foi usado para permitir que os invasores executassem códigos maliciosos dentro do Chrome, enquanto o dia zero do Windows foi a segunda parte desse ataque, permitindo que os agentes de ameaças escapassem do contêiner seguro do Chrome e executassem o código no sistema operacional subjacente – em que especialistas em segurança chamam um escape sandbox.
A equipe do Google Project Zero notificou a Microsoft na semana passada e deu à empresa sete dias para corrigir o bug. Os detalhes foram publicados hoje, já que a Microsoft não lançou um patch no tempo previsto.
De acordo com o relatório do Google , o dia zero é um bug no kernel do Windows que pode ser explorado para elevar o código de um invasor com permissões adicionais.
De acordo com o relatório, a vulnerabilidade afeta todas as versões do Windows entre o Windows 7 e a versão mais recente do Windows 10.
Código de prova de conceito para reproduzir ataques também foi incluído.
Hawkes não forneceu detalhes sobre quem estava usando esses dois dias-zero. Normalmente, a maioria dos dias zero é descoberta por grupos de hackers patrocinados por países ou grandes grupos de crimes cibernéticos.
De acordo com o mesmo relatório do Google, os ataques também foram confirmados por uma segunda equipe de segurança do Google, o Threat Analysis Group (TAG) do Google.
Shane Huntley, diretor do Google TAG, disse que os ataques não estão relacionados às eleições nos EUA.
O bug do Chrome foi corrigido na versão 86.0.4240.111 do Chrome.
Esta é a segunda vez que o Google divulga um ataque em duas frentes que envolveu um Windows e um Chrome zero-day. Em março de 2019, o Google disse que os agentes da ameaça também combinaram um dia zero do Chrome (CVE-2019-5786) com um dia zero do Windows (CVE-2019-0808).
Fonte: https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…