La chose surprenante à propos du problème est qu'il a été utilisé dans une attaque réelle en combinaison avec une autre vulnérabilité récemment découverte dans le navigateur Google Chrome. Ils ont trouvé un bogue dans le gestionnaire de polices FreeType (déjà fermé), qui permettait de s'échapper du bac à sable. Un couple de vulnérabilités, respectivement, a rendu un tel scénario possible: la victime est attirée vers une page Web infectée, les attaquants exécutent du code en dehors de l'environnement sécurisé du navigateur et une vulnérabilité dans Windows leur donne un contrôle total sur le système.
Ce scénario est spéculatif: Google ne divulgue pas les détails de l'attaque elle-même. Dans le même temps, l'équipe de Project Zero a appliqué la règle de divulgation des vulnérabilités zero-day et n'a donné à Microsoft que sept jours pour publier le correctif. Au moment de la publication, le correctif pour Windows n'est pas encore disponible: il sera très probablement inclus dans l'ensemble régulier de mises à jour, prévu pour le 10 novembre. Traditionnellement, il y avait un échange de vues plutôt caustique: Microsoft pense que le personnel de sécurité de Google aurait pu tolérer la publication, Project Zero est convaincu qu'ils encouragent les fournisseurs à publier un correctif plus rapidement - peut-être même en dehors du calendrier standard.
Sources
Bogue Windows 10: article ArsTechnica, informations techniques .
Vulnérabilité dans Google Chrome: données techniques et discussion dans le traqueur de bogues Project Zero.
La vulnérabilité CVE-2020-117087 affecte au moins Windows 10 et Windows 7. Elle est présente dans l'une des fonctions système de cryptage des données. Une erreur dans le traitement des informations provoque un débordement de tampon et crée des conditions pour l'exécution de code arbitraire avec les privilèges système. L'article technique de Project Zero montre la logique de la fonction vulnérable dans le pseudo-code et comprend également un script PoC qui provoque le plantage du système.
À son tour, la vulnérabilité du navigateur Chrome affecte très probablement d'autres navigateurs basés sur le moteur Blink. Peut-être pas seulement les navigateurs: le bogue a été trouvé dans le code d'une bibliothèque tierce . Fait intéressant, Microsoft ne confirme pas l'exploitation active de la vulnérabilité dans Windows, alors que Google pense le contraire. Si la véritable attaque a eu lieu (les informations à son sujet ne sont pas divulguées), alors dans tous les cas, sa phase initiale était le navigateur Chrome. Un correctif de vulnérabilité dans la bibliothèque FreeType a rendu cette méthode d'attaque particulière impossible. Cela, bien entendu, n'exclut pas la possibilité d'exploiter la vulnérabilité de Windows d'une autre manière.
Que s'est-il passé d'autre:
Les experts de Kaspersky Lab ont publié un rapport sur les attaques DDoS au troisième trimestre de cette année. Le nombre total de campagnes a considérablement diminué par rapport à la période précédente, au cours de laquelle une activité anormalement élevée de cybercriminels a été enregistrée, apparemment associée à une pandémie.
Sophos a signalé une technique de phishing pour les mots de passe Facebook qui tente de contourner l'authentification à deux facteurs. Les utilisateurs sont proposés (sous peine de suppression de la page) de contester la plainte alléguée de violation du droit d'auteur. Sur une fausse page de connexion à un compte, ils proposent de saisir un nom d'utilisateur, un mot de passe et un code à usage unique pour se connecter au compte.
En Finlande, les données d'au moins 300 clients du centre de psychothérapie Vaastamo ont été divulguées. Certains des documents sont tombés dans le domaine public, certains patients reçoivent des demandes de rançon d'environ 200 euros en crypto-monnaie et sont menacés de publier des informations sensibles. Auparavant, les cybercriminels essayaient d'obtenir de l'argent de l'organisation touchée de la manière traditionnelle - ils en exigeaient près d'un demi-million d'euros.
Une utilisation légèrement moins dangereuse des données personnelles est une attaqueaux comptes clients de la chaîne de restauration. Les comptes de certains clients ont été détournés, très probablement par la méthode du bourrage d'informations d'identification: les attaquants ont pu deviner le mot de passe, car il était utilisé dans d'autres services déjà piratés. Le résultat: la perte de montants importants, car des commandes importantes ont été reçues pour le compte des clients. Les cybercriminels travaillaient littéralement pour la nourriture.
Dans la version de WordPress 5.5.2, une vulnérabilité critique a été fermée qui permettait de prendre le contrôle d'un site Web non corrigé. Il s'agit d'un cas rare de problème grave dans le code CMS, pas dans les plugins tiers.