Google scopre una falla zero-day per Windows: la patch non è ancora disponibile

Google scopre una falla zero-day per Windows: la patch non è ancora disponibile

Il team Project Zero di Google ha scoperto una vulnerabilità zero-day di Windows che viene sfruttata attivamente. Microsoft non ha ancora rilasciato la patch correttiva e i dettagli sono già stati divulgati

di pubblicata il , alle 09:01 nel canale Sicurezza
WindowsChromeGoogleMicrosoft
 

I ricercatori di sicurezza del team Project Zero di Google hanno individuato una vulnerabilità zero-day per il sistema operativo Windows che risulta essere attivamente sfruttata. Secondo Ben Hawkes, responsabile di Project Zero, la correzione della falla dovrebbe avvenire il prossimo 10 novembre, in cui cade il consueto Patch Tuesdey di Microsoft.

La vulnerabilità zero-day, identificata dal codice CVE-2020-17087, è stata sfruttata come parte di un attacco a due fasi, assieme ad un'altra vulnerabilità zero-day di Chrome, CVE-2020-15999 e corretta nella versione di Chrome 86.0.4240.111, resa nota la scorsa settimana. La falla relativa a Chrome è stata sfruttata per consentire l'esecuzione di codice dannoso all'interno del browser, mentre la falla relativa a Windows ha permesso di evadere dalla sandbox sicura di Chrome ed eseguire il codice sul sistema operativo sottostante.

Vulnerabilità zero-day in Windows: è un bug del kernel di Windows 7, 8 e 10

Project Zero ha condiviso quanto scoperto con Microsoft la scorsa settimana, concedendo a Microsoft sette giorni per correggere il bug. Dal momento che il colosso di Redmond non ha ancora rilasciato una patch correttiva entro la deadline fissata da Project Zero, i dettagli della vulnerabilità sono stati resi noti pubblicamente.

La vulnerabilità individuata sarebbe pertanto un bug nel kernel di Windows che può essere sfruttato per elevare il codice di un utente malitnenzionato facendogli guadagnare autorizzazioni aggiuntive. La vulnerabilità interessa tutte le versioni di Windows 7, Windows 8 e Windows 10. Nei dettagli rilasciati da Project Zero è presente anche un codice proof-of-concept per riprodurre i possibili attacchi.

Il team di Google non ha tuttavia rilasciato dettagli su chi stesse utilizzando la falla. Solitamente le falle zero-day vengono scoperte da gruppi hacker particolarmente sofisticati e determinati e che possono contare su risorse consistenti. Gli attacchi sono stati confermati anche la Threat Analysis Group dela stessa Google, sottolineando comunque che si tratta di azioni slegate dalle elezioni presidenziali USA.

Non è la prima volta che una vulnerabilità zero-day di Windows e una di Chrome vengano sfruttate insieme per condurre un attacco: è già successo a marzo del 2019 con le vulnerabilità CVE-2019-5786 di Chrome e CVE-2019-0808 di Windows.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^