Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 03/11/2020

Importancia: Crítica

Recursos afectados:

Todas las versiones de Windows, desde Windows 7, hasta la versión más reciente de Windows 10.

Descripción:

Mateusz Jurczyk y Sergei Glazunovl, del equipo de Google Project Zero, han descubierto una vulnerabilidad de 0-day en el sistema operativo Windows que actualmente podría estar siendo explotada de forma activa, permitiendo la escalada de privilegios.

Solución:

• La actualización que corrige esta vulnerabilidad de 0-day de Windows se publicará el dia 10 de noviembre.
• La vulnerabilidad de Google Chrome fue parcheada en la versión 86.0.4240.111.

Detalle:

El controlador de criptografía del kernel de Windows, Windows Kernel Cryptography Driver (cng.sys), expone un dispositivo DeviceCNG a programas en modo usuario y admite una variedad de IOCTL con estructuras de entrada no triviales, lo que podría permitir a un atacante, local, escalar privilegios y salir de la sandbox. Se ha asignado el identificador CVE-2020-17087 para esta vulnerabilidad.

Para poder llevar a cabo la explotación de esta vulnerabilidad, los atacantes están utilizando previamente la vulnerabilidad de 0-day en Google Chrome, cuyo identificador asignado es CVE-2020-15999, que les permite ejecutar código malicioso dentro de Chrome.

Etiquetas: 0day, Vulnerabilidad, Windows