Les chercheurs en sécurité de Google ont (encore) frappé. Alors qu'ils doivent normalement attendre 90 jours avant de révéler des détails de sécurité liées aux vulnérabilités découvertes, l'équipe Project Zero a pris les devants. Considérant qu'elle est actuellement exploitée depuis 7 jours - ce que Microsoft n'a pas confirmé -, la faille CVE-2020-117087 affectant les systèmes Windows dont 7 et 10, a en effet été décrite.

Cette vulnérabilité est liée à un débordement de tampon dans une partie de Windows utilisée pour les fonctions cryptographiques. Ses contrôleurs d'entrée/sortie peuvent servir à diriger des données dans une partie de Windows et exécuter du code malveillant. « Le pilote de cryptographie du noyau Windows (cng.sys) expose un périphérique \ Device \ CNG à des programmes en mode utilisateur et prend en charge une variété d'IOCTL avec des structures d'entrée non triviales. Il constitue une surface d'attaque accessible localement qui peut être exploitée pour l'escalade de privilèges », précise Google Project Zero.

Un POC de code publié

L'équipe de chercheurs en sécurité a par ailleurs publié un POC de code pour faire planter des machines Windows 10. Un correctif pour combler cette faille n'est pas attendu avant le 10 novembre, c'est à dire à l'occasion du prochain patch tuesday de Microsoft. Cette vulnérabilité arrive au plus mal pour la firme de Redmond, car les utilisateurs de ses systèmes qui ont déjà fort à faire pour combler d'urgence la faille critique Zerologon.