Google révèle une nouvelle faille zero-day sur Windows activement exploitée

Des chercheurs en sécurité de Google ont révélé vendredi une vulnérabilité de type "zero-day" activement exploitée dans le système d'exploitation Windows.

Ben Hawkes, team lead de Project Zero, l'équipe d'élite de recherche en cybersécurité de Google, a annoncé qu'un correctif pour cette vulnérabilité sortirait le 10 novembre, date du prochain Patch Tuesday de Microsoft.

Combinaisons de failles zero-day Windows et Chrome

Sur Twitter, Ben Hawkes explique que la vulnérabilité Windows (traquée sous le nom de CVE-2020-17087) a été utilisé dans le cadre d'une attaque à deux coups, avec une autre faille zero-day de Chrome (nommée CVE-2020-15999). 

La vulnérabilité de Chrome a été utilisée pour permettre aux attaquants d'exécuter du code malveillant dans Chrome, tandis que celle de Windows a constitué la deuxième partie de cette attaque, permettant aux acteurs de la menace de s'échapper du conteneur sécurisé de Chrome et d'exécuter du code sur le système d'exploitation sous-jacent – dans ce que les experts en sécurité appellent une « fuite en sandbox ».

L'équipe de Google Project Zero a informé Microsoft la semaine dernière et a donné à la société sept jours pour corriger le bug. Les détails ont été publiés aujourd'hui, car Microsoft n'a pas publié de correctif dans le temps imparti.

Le bug touche les systèmes de Windows 7 à Windows 10

Selon le rapport de Google, la faille zero-day vient du noyau Windows et peut être exploitée pour élever le code d'un attaquant avec des autorisations supplémentaires.

Le rapport indique également que la vulnérabilité touche toutes les versions de Windows entre Windows 7 et la dernière version de Windows 10.

Un code de preuve de concept pour reproduire les attaques a également été inclus. Ben Hawkes n'a pas fourni de détails sur qui utilise ces deux vulnérabilités zero-day. Habituellement, la plupart d'entre elles sont découvertes par des groupes de pirates sponsorisés par des Etats ou par de grands groupes de cybercriminalité.

Double confirmation par Google

Dans le même rapport, on découvre que les attaques ont également été confirmées par une deuxième équipe de sécurité, le groupe d'analyse des menaces (TAG) de Google. Shane Huntley, directeur du Google TAG, précise que les attaques ne sont pas liées aux élections américaines.

La faille zero-day de Chrome a été corrigée dans la version 86.0.4240.111.

C'est la deuxième fois que Google révèle une double attaque impliquant des failles zero-day Windows et Chrome. En mars 2019, le géant du web affirmait que des cyberattaquants avaient également combiné CVE-2019-5786 (Chrome) et CVE-2019-0808 (Windows).


Source : ZDNet.fr