Google Project Zero розкрив уразливість “нульового дня” у Windows , спричинену неправильним виправленням CVE-2020-0986 – недоліка безпеки, шо став відомим з кампанії, яка отримала назву Operation PowerFall.
Інформацію про нову уразливість, яку ідентифікують як CVE-2020-17008, повідомили Microsoft ще 24 вересня 2020 року. Відповідно до політики Project Zero, деталі були оприлюднені через 90 днів, 23 грудня, незважаючи на те, що Microsoft пропустила термін виправлення, пише SecurityWeek.
Попередній баг CVE-2020-0986, який розкрили у травні 2020 року, став відомим корпорації Microsoft у грудні 2019 року, а виправлення було випущено в червні 2020 року. Атаки з використанням уразливості спостерігалися протягом декількох днів після розкриття інформації. У серпні 2020 року ряд дослідників опублікували інформацію про атаки, що пов’язали CVE-2020-0986 з уразливістю “нульового дня” в Internet Explorer, як частину кампанії, яка називається Operation PowerFall.
“Використовуючи цю уразливість, можна маніпулювати пам’яттю процесу splwow64.exe, щоб домогтися виконання довільного коду в процесі та вийти за межі “пісочниці” Internet Explorer 11, оскільки splwow64.exe працює із середнім рівнем цілісності”, – пояснили дослідники.
Також помилкою підвищення привілеїв у splwow64.exe, CVE-2020-17008 можна зловживати, просто змінивши метод експлуатації для CVE-2020-0986, довільної вади розшарування вказівника, що впливає на API інтерфейсу друку/друку GDI.
Дослідник Google Project Zero Медді Стоун пояснює, що CVE-2020-17008 насправді майже ідентичний CVE-2020-0986, єдина різниця полягає в тому, що “для CVE-2020-0986 зловмисник використовував вказівник, а тепер зловмисник використовує зміщення”. Стоун зазначає, що патч Microsoft був несправним, оскільки він просто замінив покажчики на зміщення, тимчасово не давши змоги зловмиснику контролювати “аргументи до memcpy”.
Дослідник також опублікував код підтвердження концепції (PoC), націлений на CVE-2020-17008, зазначивши, що експлойт є адаптацією попереднього PoC, випущеного для CVE-2020-0986.
“Це запускає вразливість memcpy двічі: спочатку витікає адреса стеку пам’яті, де зберігається повідомлення, і те, до чого додається зміщення, щоб генерувати вказівники, а потім виконується запис”, – говорить Стоун.
Microsoft, яка визнала проблему через день після отримання звіту про вразливість, планувала випустити виправлення в листопаді, але відклала виправлення через проблеми, виявлені під час тестування. В даний час компанія планує усунути цю помилку в січні 2021 року.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як безпечно робити покупки в Інтернеті на новорічні свята? Поради
Як безпечно організовувати і брати участь в онлайн-зустрічах?
Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ
Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.
Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.
До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion
Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.