Démarrée en début d'année, l'explication de texte des chercheurs en sécurité de l'équipe Project Zero de Google sur une vaste cyberattaque multi OS de 2020 se poursuit. Après avoir détaillé 4 failles ayant fait l'objet de puissantes et efficaces chaines d'attaques, à savoir les CVE-2020-6428  (TurboFan dans Chrome), CVE-2020-0938 et CVE-2020-1020 (Font dans Windows) et CVE-2020-1027 (WindowsCSRSS), 7 autres viennent d'être analysées.

« Les vulnérabilités couvrent un spectre assez large de problèmes, d'une faille JIT moderne à d'importants problèmes de cache relatifs à des bugs de police », a expliqué la chercheuse en sécurité Maddie Stone de Google Project Zero. « Dans l'ensemble, chacun de ces exploits a fait l'objet d'un travail de compréhension approfondie ». Parmi les 7 dernières failles analysées, la CVE-2020-15999 s'est montrée particulièrement redoutable, utilisant une méthode d'exploit jusqu'alors jamais observée par l'équipe de chercheurs de Google grâce à des méthodes d'obfuscation variées ayant nécessité beaucoup de temps pour les comprendre.

Google Project Zero

Diagramme synthétique des 7 exploits zero day trouvées et analysées par Google. (crédit : Project Zero)

D'autres chaines d'attaques possibles mais pas découvertes

Les autres failles passées en revue par Google ont été les CVE-2020-17087 (débordement de mémoire tampon Windows dans cng.sys), CVE-2020-16009 (Chrome turbofan type confusion), CVE-2020-16010 (dépassement de mémoire tampon Chrome pour Android), CVE-2020-27930 (lecture/écriture dans la stack arbitraire de Safari via polices Type 1), CVE-2020-27950 (divulgation de mémoire noyau iOS XNU kernel dans des messages mach), et la CVE-2020-27932 (iOS type confusion au niveau noyau). Dans le cadre de son analyse, l'équipe Project Zero a découvert deux serveurs ayant servi à activer plusieurs chaines d'exploit via une attaque dite par point d'eau (watering hole). Le premier, actif pendant plus d'une semaine, a ciblé des systèmes iOS et Windows, et le second, opérationnel pendant près de 36 heures, avait dans son viseur les systèmes Android.

« Au total, nous avons collecté: 1 chaîne d'attaque complète ciblant Windows 10 entièrement corrigée avec Google Chrome, 2 chaînes d'attaque partielles entièrement corrigées ciblant 2 terminaux Android 10 différents avec Google Chrome et le navigateur Samsung, et des exploits RCE pour iOS 11-13 et un exploit d'escalade de privilèges pour iOS 13 », a expliqué Maddie Stone. « Les terminaux sous iOS, Android et Windows étaient les seuls que nous avons testés alors que les serveurs étaient encore actifs. L'absence d'autres chaînes d'exploitation ne signifie pas que ces chaînes n'existaient pas ».

Il reste encore des chaînes d'exploit à découvrir. (Crédit Photo: Google)