Windows零日(尚未修补)被用作漏洞利用链的一部分,该漏洞利用链还包括Chrome零日(已修补)。
谷歌的安全研究人员今天披露了当前正在积极利用的Windows操作系统中的零日漏洞。
谷歌精英漏洞研究团队Project Zero的负责人Ben Hawkes表示,预计零日漏洞的修复时间为11月10日,也就是微软下一个补丁周二的日期。
霍克斯在推特上说,Windows零日攻击(跟踪为 CVE-2020-17087)被用作两次攻击的一部分,另外一个Chrome零日攻击(跟踪为 CVE-2020-15999)已被他的团队在上周披露。
Chrome零日漏洞用于允许攻击者在Chrome中运行恶意代码,而Windows零日漏洞则是攻击的第二部分,从而允许威胁行为者逃脱Chrome的安全容器并在底层操作系统上运行代码-安全专家称沙盒逃生。
Google Project Zero小组上周通知了Microsoft,并给了公司7天的时间来修复该错误。由于Microsoft在指定时间内未发布补丁,因此详细信息已于今天发布。
目前,我们预计此问题的补丁将在11月10日发布。我们已经与Google威胁分析小组总监Shane Huntley(@ShaneHuntley)确认,这是针对性的利用,并且与美国大选相关的针对性无关。-Ben Hawkes(@benhawkes)
2020年10月30日
WINDOWS 7到WINDOWS 10受到影响
根据 Google的报告,零日漏洞是Windows内核中的一个错误,可以利用该错误以附加的权限提升攻击者的代码。
根据该报告,该漏洞会影响Windows 7和最新Windows 10版本之间的所有Windows版本。加入诺基亚Real Talk:2020年最受关注的通信服务提供商虚拟活动在11月10日的日历上标记出一个充满洞察力的议程,其中包括当今最有影响力和最受尊敬的未来主义者和技术专家,仅在Real Talk 2020上。诺基亚赞助
还包括用于重现攻击的概念验证代码。
霍克斯没有提供有关谁在使用这两个零时区的详细信息。通常,大多数零时差是由国家发起的黑客组织或大型网络犯罪组织发现的。
根据同一份Google报告,这些攻击也得到了第二个Google安全团队,即Google的威胁分析小组(TAG)的确认。
Google TAG总监Shane Huntley说,这次袭击与美国大选无关。
Chrome零日补丁已在Chrome版本86.0.4240.111中进行了修补 。
这是Google第二次披露涉及Windows和Chrome零时差的双重攻击。在2019年3月,谷歌表示威胁参与者还将Chrome的零日(CVE-2019-5786)与Windows的零日(CVE-2019-0808)结合在一起。
*编译:Domino
*来自:zdnet