Σύμφωνα με τη Google, μια zero-day ευπάθεια στα Windows (που δεν έχει ακόμη διορθωθεί) χρησιμοποιείται ως μέρος μιας επίθεσης, που περιλαμβάνει επίσης μια Chrome zero-day ευπάθεια (που έχει ήδη διορθωθεί).

Οι ερευνητές ασφαλείας από τη Google αποκάλυψαν την προηγούμενη εβδομάδα τη zero-day ευπάθεια στο λειτουργικό σύστημα Windows και ανέφεραν ότι χρησιμοποιείται ήδη από εγκληματίες για την πραγματοποίηση επιθέσεων.

Η ευπάθεια πιθανότατα θα διορθωθεί στις 10 Νοεμβρίου, όταν δηλαδή θα κυκλοφορήσει το επόμενο Patch Tuesday της Microsoft. Αυτό τουλάχιστον πιστεύει ο Ben Hawkes, επικεφαλής της ερευνητικής ομάδας Project Zero της Google.

Σύμφωνα με ένα tweet του Hawkes, η Windows zero-day ευπάθεια, η οποία έχει ονομαστεί CVE-2020-17087, χρησιμοποιείται στα πλαίσια μιας “two-punch” επίθεσης, μαζί με μια άλλη Chrome zero-day ευπάθεια (γνωστή ως CVE-2020-15999), που ανακαλύφθηκε, επίσης, πρόσφατα αλλά διορθώθηκε την προηγούμενη εβδομάδα.

Η Chrome zero-day ευπάθεια μπορεί να επιτρέψει στους επιτιθέμενους να εκτελέσουν κακόβουλο κώδικα στο Chrome, ενώ το σφάλμα των Windows αποτελεί το δεύτερο μέρος αυτής της επίθεσης και επιτρέπει την αποφυγή του secure container του Chrome και την εκτέλεση κώδικα στο λειτουργικό σύστημα (αυτό οι ειδικοί το ονομάζουν “sandbox escape”).

Η ερευνητική ομάδα της Google ενημέρωσε τη Microsoft την περασμένη εβδομάδα και της έδωσε επτά ημέρες προθεσμία για να διορθώσει το σφάλμα. Ωστόσο, η Microsoft δεν κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα στον καθορισμένο χρόνο.

Windows 7-Windows 10 επηρεάζονται από την zero-day ευπάθεια

Σύμφωνα με την έκθεση της Google, η συγκεκριμένη zero-day ευπάθεια των Windows είναι ένα σφάλμα στο Windows

kernel, που μπορεί να χρησιμοποιηθεί για την απόκτηση περισσότερων προνομίων στο ευάλωτο σύστημα.

Η Google λέει ότι η ευπάθεια επηρεάζει όλες τις εκδόσεις των Windows μεταξύ των Windows 7 και της πιο πρόσφατης έκδοσης των Windows 10.

Ο Hawkes δεν παρείχε λεπτομέρειες σχετικά με το ποιος χρησιμοποιούσε αυτές τις δύο zero-day ευπάθειες. Πολλές φορές, αυτές οι ευπάθειες χρησιμοποιούνται από μεγάλες hacking ομάδες ή κρατικούς hackers.

Η ίδια αναφορά της Google τονίζει ότι οι επιθέσεις επιβεβαιώθηκαν και από μια δεύτερη ομάδα ασφάλειας της Google, το Threat Analysis Group (TAG).

Σύμφωνα με το ZDNet, ο Shane Huntley, διευθυντής του Google TAG, δήλωσε ότι οι επιθέσεις δεν σχετίζονται με τις εκλογές των ΗΠΑ.

Η Chrome zero-day ευπάθεια διορθώθηκε με τη νέα έκδοση του Chrome, 86.0.4240.111.

Είναι η δεύτερη φορά που η Google αποκαλύπτει μια επίθεση που περιλαμβάνει συνδυασμό Windows και Chrome zero-day ευπαθειών. Τον Μάρτιο του 2019, η Google είχε ανακαλύψει, επίσης, μια επίθεση που συνδύαζε ένα Chrome zero-day (CVE-2019-5786) με ένα Windows zero-day σφάλμα (CVE-2019-0808).