Google révèle un bogue du jour zéro de Windows exploité dans la nature

Les chercheurs du Projet Zéro de Google ont révélé des détails sur une vulnérabilité de Windows qui, selon eux, est exploitée par des attaquants.

La faille de sécurité, qui corrompt la mémoire, réside dans le pilote de cryptographie du noyau Windows (cng.sys) et, selon Google, « constitue une surface d'attaque localement accessible qui peut être exploitée pour l'escalade des privilèges (comme l'évasion du sandbox). »

Les chercheurs ont également publié un code de preuve de concept (PoC) qu'ils avaient testé sur une version récente de Windows 10 (version 1903, 64 bits) et pensent que le bogue de sécurité pourrait être présent depuis Windows 7, ce qui signifie que toutes les versions de Windows 7 à 10 pourraient être affectées.

Selon les médias, la faille est exploitée en conjonction avec un autre zero-day, qui est indexé comme CVE-2020-15999 et affecte FreeType, une bibliothèque de développement de logiciels largement utilisée qui fait également partie de Google Chrome.

Google a signalé à Microsoft la découverte du nouveau bogue, qui est répertorié comme CVE-2020-17087, mais comme il a trouvé des preuves de l'exploitation de la faille dans la nature, il a opté pour un délai de divulgation court de sept jours.

À quelques jours d’un correctif

Au moment d’écrire ces lignes, la faille de sécurité n'a pas de correctif, mais le responsable technique du Projet Zéro, Ben Hawkes, tweete (ou clavarde si vous préférez) qu'ils s'attendent à en avoir un le 10 novembre, ce qui coïncide avec le prochain Patch Tuesday.

Entre temps, Microsoft a déclaré ceci à TechCrunch :

« Microsoft s'engage à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés afin de protéger les clients. Bien que nous nous efforcions de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans ce scénario, le développement d'une mise à jour de sécurité est un équilibre entre rapidité et qualité, et notre objectif ultime est de contribuer à assurer une protection maximale des clients avec un minimum de perturbations. »

Un porte-parole de l'entreprise a également ajouté que l'attaque semble être assez limitée et qu'il n'y a pas de preuve qu'il s'agisse d'un problème généralisé. Les attaques ne seraient pas liées à l’élection présidentielle américaine tenue cette semaine.

Depuis le début de cette année, Microsoft a révélé et corrigé plusieurs bogues graves dans Windows, y compris un doublon de zero-days en mars et une vulnérabilité découverte par l'Agence de sécurité nationale (NSA) aux États-Unis.