Команда Google Project Zero знайшла у Windows небезпечну уразливість нульового дня. Microsoft усуне її тільки з наступним плановим оновленням безпеки.
Уразливість назвали CVE-2020-17087. Вона пов’язана з роботою Windows Kernel Cryptography Driver (cng.sys). Уразливість відноситься до Багів переповнення буфера. Зловмисники можуть використовувати її для підвищення привілеїв і виходу за межі пісочниці. Повідомляється, що уразливість вже застосовують для атак.
Проблема стосується багатьох версій Windows, починаючи з Windows 7. Що цікаво, свіжий баг використовувався в поєднанні з іншою 0-day вразливістю: CVE-2020-15999, виявленою зовсім нещодавно в Google Chrome. Так, вразливість в Chrome використовувалася для запуску шкідливого коду всередині Chrome, а нульовий день в Windows пускав в хід під час другої частини атаки, що дозволяло зловмисникам покинути безпечний контейнер Chrome і виконати код вже на рівні ОС (тобто здійснити втечу з пісочниці).
Currently we expect a patch for this issue to be available on November 10. We have confirmed with the Director of Google's Threat Analysis Group, Shane Huntley (@ShaneHuntley), that this is targeted exploitation and this is not related to any US election related targeting.
— Ben Hawkes (@benhawkes) October 30, 2020
Патчу для уразливості поки немає, і Бен Хоукс (Ben Hawkes) повідомляє в Twitter, що реліз виправлення очікується лише в наступний «вівторок оновлень», тобто 10 листопада 2020 року.
.
