Actief aangevallen zerodaylek in Windows-kernel onthult door Google

Er zijn door Google details openbaar gemaakt over een actief aangevallen zerzodaylek in de Windows-kernel. Er is nog geen beveiligingsupdate beschikbaar van Microsoft. Het Windows-lek is mogelijk in combinatie met een ander zerodaylek gebruikt om ook Chrome-gebruikers aan te vallen.

Kwetsbaarheid

Een aanvaller die al toegang heeft tot een systeem, kan via de kwetsbaarheid (aanwezig in Windows 7 tot Windows 10) zijn rechten verhogen of ontsnappen uit een sandbox. Op 22 oktober werd het beveiligingslek aan Microsoft gerapporteerd. Normaal gesproken geeft Google bedrijven en ontwikkelaars negentig dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen. Omdat het gaat om een actief aangevallen beveiligingslek, hanteert Google nu een deadline van zeven dagen.

In die zeven dagen heeft Microsoft geen beveiligingsupdate uitgebracht. Hierop maakte Google de details van het lek met de naam CVE-2020-17087 openbaar. Google verwachtte dat er op 10 november een update verschijnt voor de kwetsbaarheid. Elke tweede dinsdag van elke maand brengt Microsoft beveiligingsupdates uit en wijkt hier enkel vanaf wanneer kwetsbaarheden bijvoorbeeld worden aangevallen op grote schaal. Het lek is volgens Google ingezet bij gerichte aanvallen. Het zerodaylek dat door Google onthuld is, kan enkel in combinatie met een ander lek of vanaf een gecompromitteerd systeem worden gebruikt. Dit beperkt de impact. Microsoft heeft inderdaad een patch uitgebracht op de verwachtte datum.

Google patchte op dinsdag 20 oktober een actief aangevallen zerodaylek in Chrome. Deze kwetsbaarheid alleen was niet voldoende om systemen te compromitteren en moet met een ander lek worden gecombineerd. Hierbij kan het gaan om het nu onthulde zerodaylek in Windows. Er werd vorig jaar een soortgelijke lek in Windows met een Chrome-lek gecombineerd om gebruikers van de Googlebrowser aan te vallen.

Bron: Security.nl