O dia zero deve ser corrigido em 10 de novembro, que é a data da próxima Patch Tuesday da Microsoft, de acordo com Ben Hawkes, chefe da equipe do Project Zero, equipe de pesquisa de vulnerabilidade de elite do Google.
No Twitter, Hawkes disse que o dia zero do Windows (rastreado como CVE-2020-17087 ) foi usado como parte de um ataque de dois socos, junto com outro um dia zero do Chrome (rastreado como CVE-2020-15999 ) que sua equipe divulgado na semana passada .
O dia zero do Chrome foi usado para permitir que os invasores executassem códigos maliciosos dentro do Chrome, enquanto o dia zero do Windows foi a segunda parte desse ataque, permitindo que os agentes de ameaças escapassem do contêiner seguro do Chrome e executassem o código no sistema operacional subjacente – em que especialistas em segurança chamam um escape sandbox.
A equipe do Google Project Zero notificou a Microsoft na semana passada e deu à empresa sete dias para corrigir o bug. Os detalhes foram publicados hoje, já que a Microsoft não lançou um patch no tempo previsto.
De acordo com o relatório do Google , o dia zero é um bug no kernel do Windows que pode ser explorado para elevar o código de um invasor com permissões adicionais.
De acordo com o relatório, a vulnerabilidade afeta todas as versões do Windows entre o Windows 7 e a versão mais recente do Windows 10.
Código de prova de conceito para reproduzir ataques também foi incluído.
Hawkes não forneceu detalhes sobre quem estava usando esses dois dias-zero. Normalmente, a maioria dos dias zero é descoberta por grupos de hackers patrocinados por países ou grandes grupos de crimes cibernéticos.
De acordo com o mesmo relatório do Google, os ataques também foram confirmados por uma segunda equipe de segurança do Google, o Threat Analysis Group (TAG) do Google.
Shane Huntley, diretor do Google TAG, disse que os ataques não estão relacionados às eleições nos EUA.
O bug do Chrome foi corrigido na versão 86.0.4240.111 do Chrome.
Esta é a segunda vez que o Google divulga um ataque em duas frentes que envolveu um Windows e um Chrome zero-day. Em março de 2019, o Google disse que os agentes da ameaça também combinaram um dia zero do Chrome (CVE-2019-5786) com um dia zero do Windows (CVE-2019-0808).
Fonte: https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…