谷歌的Project Zero披露Windows 0day一直处于活跃利用状态

2020-10-31 08:47:58

谷歌的Zero项目表示,黑客一直在积极利用Windows Zeroday,该漏洞几乎要到两周后才能打上补丁。

为了与长期的政策保持一致,谷歌的漏洞研究小组给了微软7天的最后期限来修复安全漏洞,因为它正在被积极利用。通常,Project Zero会在90天后或补丁程序可用时(以先到者为准)披露漏洞。

在跟踪漏洞时,CVE-2020-117087允许攻击者提升系统权限。攻击者将针对该漏洞的攻击与针对Chrome最近修复的缺陷的单独攻击相结合。前者允许后者逃离安全沙箱,因此后者可以在易受攻击的机器上执行代码。

CVE-2020-117087源于用于加密功能的部分视窗中的缓冲区溢出。它的输入/输出控制器可用于将数据输送到允许代码执行的Windows部分。周五发布的帖子指出,该漏洞存在于Windows7和Windows10中,但没有提及其他版本。

周五的Project Zero帖子称:“Windows内核加密驱动程序(cng.sys)将\Device\CNG设备暴露给用户模式程序,并支持多种具有非平凡输入结构的IOCTL。”“它构成了可用于权限提升(如沙盒转义)的本地可访问的攻击面。”

这篇技术文章包括一个概念验证代码,人们可以用它来使Windows10机器崩溃。

与CVE2020-117087相结合的Chrome缺陷存在于Chrome附带的FreeType字体渲染库和其他开发者的应用程序中。FreeType漏洞已在11天前修复。目前还不清楚是否所有使用FreeType的程序都已更新以包含该补丁。

Project Zero表示,预计微软将在11月10日修补该漏洞,这与该月的周二更新不谋而合。在一份声明中,微软官员写道:

微软向客户承诺调查报告的安全问题并更新受影响的设备以保护客户。虽然我们努力满足所有研究人员的披露截止日期,包括本场景中的短期截止日期,但开发安全更新是及时性和质量之间的平衡,我们的最终目标是帮助确保最大限度地保护客户,同时将客户中断降至最低。

一名代表表示,微软没有证据表明该漏洞正在被广泛利用,该漏洞不能被利用来影响加密功能。微软没有提供任何有关Windows用户在修复程序可用之前可以采取的步骤的信息。

Project Zero技术负责人本·霍克斯(Ben Hawkes)为在Zero被积极利用后一周内披露Zero的做法进行了辩护。

速战速决:我们认为有防御性的工具来共享这些细节,而且从现在到发布补丁之间使用这些细节的机会主义攻击是相当不可能的(到目前为止,它已经被用作利用链的一部分,并且入口点攻击已经修复)。

野生利用的短截止日期还试图激励正在紧急开发/共享的带外补丁或其他缓解措施。这些改进可能会在更长的时期内看到。

野生利用的短截止日期还试图激励正在紧急开发/共享的带外补丁或其他缓解措施。这些改进可能会在更长的时期内看到。

-本·霍克斯(@benhawkes)2020年10月30日。

除了“与任何与美国大选相关的目标无关”之外,没有任何关于积极利用漏洞的细节。