Google Project Zero ontdekt acute Windows zero day-kwetsbaarheid

Abonneer je gratis op Techzine!

Google Project Zero heeft een nieuwe zeer kritische zero day-kwetsbaarheid in de Windows-kernel gevonden. Het gaat hierbij om een kwetsbaarheid die systeemprivileges kan omzeilen.

Zeer recent ontdekte Project Zero, de beveiligingsexperts van Google, een nieuwe acute kwestbaarheid in de Windows-kernel en hebben deze openbaar gemaakt.

De security-experts hadden Microsoft zeven dagen de tijd gegeven om met een patch te komen, maar dit is niet gebeurd. Normaal wachten de security-experts 90 dagen of nadat een patch is uitgevoerd met publicatie, maar komen dus al veel eerder met hun informatie naar buiten. Het gaat namelijk om een actief gebruikte exploit. De experts verwachten dat de exploit pas over twee weken wordt gepatcht.

Omzeilen van systeemprivileges

Concreet gaat het om de CVE-2020-117087-kwetsbaarheid. De gevonden zero day stelt hackers in staat om systeemprivileges te laten escaleren. De nu gevonden kwetsbaarheid wordt door hackers vooral gebruikt in combinatie met een eerder gevondenen gepatchte kwetsbaarheid in Chrome.

De kwetsbaarheid zit in de Windows Kernel Cryptography Driver (cng.sys). Deze wordt gebruikt voor versleutelingsfunctionaliteit. De driver stelt een zogenoemd \Device\CNG device bloot aan user-mode programma’s en ondersteunt verschillende IOCTLs met non-triviale input-structuren. De input/output controllers kunnen hierdoor worden gebruikt om data naar een gedeelte van Windows te laten stromen die het uitvoeren van code toestaat.

Met de expoit kunnen hackers zo een buffer overflow creëren, waardoor bepaalde systeemprivileges kunnen worden geëscaleerd. In dit geval doen ontsnappen van code uit sandbox-omgevingen.

De gevonden kwestbaarheid CVE-2020-117087 is zowel binnen Windows 10 en Windows 7 aanwezig. In testen is het met deze kwetsbaarheid gelukt om Windows 10-machines te doen crashen.