Vous savez déjà que Google Project Zero est ce projet qui recherche des vulnérabilités dans les produits et services. Le dicton «Je vends des conseils que je n’ai pas» pourrait s’appliquer à cette situation. La manière d’agir est d’offrir à l’entreprise concernée une période de temps extensible pour résoudre les vulnérabilités.
S’il n’est pas rempli Google révèle la vulnérabilité et comment utiliser cette vulnérabilité. C’est quelque chose que nous avons vu fréquemment, mais cette fois, ils ont révélé une vulnérabilité au milieu des vacances de Noël.
Google Project Zero met les ingénieurs de Windows 10 dans une impasse à Noël
Le bug que vous avez divulgué publiquement est un bug de sécurité dans Windows. S’il est exploité, il peut conduire à une élévation de privilèges.
L’opération est la suivante: Un processus malveillant peut envoyer des messages d’appel de procédure locale (LPC) au processus Windows splwow64.exe. Grâce à quoi un attaquant peut écrire une valeur arbitraire dans un espace mémoire d’une adresse arbitraire dans l’espace mémoire de splwow64. Cela signifie essentiellement que l’attaquant contrôle cette adresse de destination et tout contenu qui y est copié.
Le défaut en question n’est pas tout à fait nouveau. En fait, un chercheur en sécurité de Kaspersky rapporté plus tôt cette année et Microsoft l’a corrigé en juin. Cependant, ce patch a maintenant été déterminé comme incomplet pour Maddie Stone de Google Project Zero. Maddie indique que le correctif de Microsoft ne modifie les points qu’en offset. Ce qui signifie qu’un attaquant peut toujours l’exploiter en utilisant la valeur de décalage.
Le jour zéro a été signalé en privé à Microsoft par Google Project Zero le 24 septembre, le délai standard de 90 jours expirant le 24 décembre. Microsoft avait initialement prévu de publier un correctif en novembre, mais ce délai de publication a glissé à décembre. Après cela, il a dit à Google que avait identifié de nouveaux problèmes lors de ses tests, et publiera désormais un correctif en janvier 2021.
Project Zero pourrait être plus intransigeant en 2021
Le 8 décembre, les deux parties se sont rencontrées pour discuter des progrès et des prochaines étapes. Où il a été déterminé que la période de grâce de 14 jours ne peut pas être offerte à Microsoft. La société prévoit de publier le correctif d’ici le 12 janvier 2021, six jours pendant la période de grâce. Stone a déclaré que bien qu’il ne pense pas qu’une solution incomplète mérite un nouveau délai de 90 jours, cela a toujours été suivi par défaut.
Les plans de l’équipe Project Zero revoir vos politiques à nouveau l’année prochaine, mais a divulgué publiquement la vulnérabilité avec un code de preuve de concept. Le livre blanc ne sait pas quelles versions de Windows il affecte. Mais le rapport de Kaspersky d’il y a quelques mois indique que des attaquants l’ont utilisé pour attaquer de nouvelles versions de Windows 10.