Des chercheurs en sécurité de Google ont révélé, vendredi dernier, une vulnérabilité «Zero-day», exploitée actuellement dans le cadre d’attaques qui visent le système d’exploitation Windows.
Dans une publication sur Twitter, Ben Hawkes, en charge de Project Zero, équipe de recherche des bugs chez Google, a récemment mis en lumière une faille « Zero-day», portant le nom de CVE-2020-17087, sur Windows. Cette faille a été utilisée dans le cadre d’une attaque à deux coups, avec autre faille « Zero-day» de Chrome, nommée CVE-2020-15999.
Dans ce sens, Ben Hawkes a annoncé que le correctif pour cette vulnérabilité sortirait le 10 novembre, date à laquelle Microsoft déploiera son traditionnel Patch Tuesday.
Deux étapes avant l’attaque
La faille révélée par Google est, désormais, combinée à une autre faille critique présente dans Chrome. Elle s’effectue en deux étapes : d’abord, la vulnérabilité est exploitée dans Chrome qui permet d’exécuter un code malveillant, puis ensuite dans Windows permettant aux acteurs de la menace de sortir du conteneur sécurisé du navigateur. Ainsi, cette attaque est appelée par les experts en sécurité une «fuite en sandbox ».
L’équipe de Google Project Zero a, dans ce sens, avisé la firme de Redmond, tout en lui laissant sept jours pour corriger ladite faille dont les détails ont été dévoilés suite à la non-publication de correctifs par Microsoft.
Versions Windows de 7 à 10 concernées
Cette faille touche le noyau de toutes les versions de Windows, à partir des versions 7 jusqu’à la toute dernière 10. Selon le rapport publié par Google, « la faille vient du noyau Windows et peut être exploitée pour élever le code d’un attaquant avec des autorisations supplémentaires». Sans donner plus de détail sur la question, Ben Hawkes a expliqué que la plupart de ces failles sont découvertes par des groupes de pirates sponsorisés par des Etats ou par de grands groupes de cybercriminalité.
Ces attaques ont été également confirmées par le groupe d’analyse des menaces (TAG) de Google, une deuxième équipe de sécurité, a souligné le même rapport.
A noter qu’il s’agit de la deuxième fois que Google révèle une double attaque impliquant des failles Zero-day Windows et Chrome. En mars 2019, Google avait déclaré que des cyberattaquants avaient également combiné CVE-2019-5786 et CVE-2019-0808, exploités respectivement sur Chrome et sur Windows.
Dans une publication sur Twitter, Ben Hawkes, en charge de Project Zero, équipe de recherche des bugs chez Google, a récemment mis en lumière une faille « Zero-day», portant le nom de CVE-2020-17087, sur Windows. Cette faille a été utilisée dans le cadre d’une attaque à deux coups, avec autre faille « Zero-day» de Chrome, nommée CVE-2020-15999.
Dans ce sens, Ben Hawkes a annoncé que le correctif pour cette vulnérabilité sortirait le 10 novembre, date à laquelle Microsoft déploiera son traditionnel Patch Tuesday.
Deux étapes avant l’attaque
La faille révélée par Google est, désormais, combinée à une autre faille critique présente dans Chrome. Elle s’effectue en deux étapes : d’abord, la vulnérabilité est exploitée dans Chrome qui permet d’exécuter un code malveillant, puis ensuite dans Windows permettant aux acteurs de la menace de sortir du conteneur sécurisé du navigateur. Ainsi, cette attaque est appelée par les experts en sécurité une «fuite en sandbox ».
L’équipe de Google Project Zero a, dans ce sens, avisé la firme de Redmond, tout en lui laissant sept jours pour corriger ladite faille dont les détails ont été dévoilés suite à la non-publication de correctifs par Microsoft.
Versions Windows de 7 à 10 concernées
Cette faille touche le noyau de toutes les versions de Windows, à partir des versions 7 jusqu’à la toute dernière 10. Selon le rapport publié par Google, « la faille vient du noyau Windows et peut être exploitée pour élever le code d’un attaquant avec des autorisations supplémentaires». Sans donner plus de détail sur la question, Ben Hawkes a expliqué que la plupart de ces failles sont découvertes par des groupes de pirates sponsorisés par des Etats ou par de grands groupes de cybercriminalité.
Ces attaques ont été également confirmées par le groupe d’analyse des menaces (TAG) de Google, une deuxième équipe de sécurité, a souligné le même rapport.
A noter qu’il s’agit de la deuxième fois que Google révèle une double attaque impliquant des failles Zero-day Windows et Chrome. En mars 2019, Google avait déclaré que des cyberattaquants avaient également combiné CVE-2019-5786 et CVE-2019-0808, exploités respectivement sur Chrome et sur Windows.
Siham MDIJI
