Google dezvăluie o vulnerabilitate la nivel de kernel în Windows, exploatată la liber încă din 2009

Echipa Project Zero a companiei Google a dezvăluit existența unei vulnerabilități în sistemele de operare Windows, prezentă începând cu Windows 7, până la cea mai recentă versiune a Windows 10, pe care atacatorii o foloseau la liber în mod activ.

Identificarea unei vulnerabilități utilizate la liber constituie cel mai negru scenariu posibil. A descoperi o vulnerabilitate necunoscută este destul de grav, însă a descoperi o vulnerabilitate care a existat pe o perioadă necunoscută de timp este cu mult mai grav.

Ca multe alte vulnerabilități, aceasta este utilizată pentru obținerea unor drepturi superioare de acces, ceea ce înseamnă că atacatorii pot obține drepturi de administrator. Încă apar rapoarte noi cu privire la vulnerabilitatea Zerologon și deja a mai apărut încă una.

„Windows Kernel Cryptography Driver (cng.sys) expune un dispozitiv \Device\CNG la programe în modul utilizator și este compatibil cu diferite IOCTL-uri cu structuri de intrare importante”, au declarat Mateusz Jurczyk și Sergei Glazunov, membrii ai echipei Google Project Zero. „Constituie o suprafață de atac accesibilă la nivel local, care poate fi exploatată pentru obținerea unor drepturi superioare de acces (cum ar fi sandbox escape).”

Echipa a furnizat deja o demonstrație de concept care funcționează pe o versiune recentă a Windows 10 1903 (64 de biți), dar cercetătorii spun că eroarea, prin urmare și vulnerabilitatea, există începând cu cel puțin Windows 7. Bineînțeles, acest lucru complică datele problemei, întrucât această versiune deține o cotă de piață considerabilă (în jur de 5 procente), iar sistemul de operare nu mai este actualizat.

De obicei, atunci când sunt identificate vulnerabilități, cercetătorii și companiile își coordonează declarațiile, astfel încât să existe o perioadă suficientă de timp pentru lansarea unui patch, fiind în general nevoie de 90 de zile în acest sens. Însă, de vreme ce echipa spune că deține dovezi care indică faptul că eroarea este exploatată la liber, aceasta i-a pus la dispoziție companiei Microsoft doar 7 zile.

Dezvăluirea vulnerabilității obligă companiile să ia măsuri rapid și permite administratorilor IT și de rețea să devină conștienți de o posibilă problemă. Ben Hawkes, coordonatorul tehnic al echipei Project Zero, a spus deja că vulnerabilitatea nu are legătură cu alegerile prezidențiale de pe 3 noiembrie din SUA.

Microsoft a lansat deja un patch pentru asta pe 10 noiembrie.