SIKKERHET

Google avslører nulldagssårbarhet i Windows – blir utnyttet av hackere

Microsoft mener de fikk for kort frist.

Illustrasjonsbilde.
Illustrasjonsbilde. Foto: Microsoft
3. nov. 2020 - 19:00

Det er nå oppdaget en nulldagssårbarhet i Windows 10 som kan brukes til å eskalere privilegier i operativsystemet. Sårbarheten skal allerede ha blitt utnyttet av hackere, skriver blant andre Forbes og TechCrunch.

Sårbarheten ble oppdaget av Googles sikkerhetsteam Project Zero, som la ut tekniske detaljer den 22. oktober. Der ga de Microsoft syv dager til å fikse sårbarheten før den ble offentliggjort – som er Project Zeros praksis rundt nulldagssårbarheter.

– Kort frist

Sikkerhetshullet det dreier seg om ligger ifølge Google i driverfilen cng.sys (cryptography Next Generation) og går under sporingskoden CVE-2020-17087. Det er en såkalt buffer-overflytsfeil som kan brukes til eskalering av privilegier, som igjen kan utnyttes til å skaffe sensitiv informasjon.

Hullet kan også brukes til å unnslippe sandbox-funksjoner, sikkerhetsteknikker som brukes til å å isolere ukjente og tvilsomme programmer for å bedre kunne oppdage og analysere dem.

Microsoft har bekreftet feilen, men klarte altså ikke å overholde Googles frist, noe som førte til offentliggjøringen nylig. I en kommentar antyder selskapet at fristen de fikk var i overkant kort.

– Selv om vi arbeider for å møte enhver deadline fra alle forskere, inkludert korttidsfrister som i dette scenariet, er utvikling av sikkerhetsoppdateringer en balanse mellom betimelighet og kvalitet og vårt ultimate mål er å sikre maksimal brukerbeskyttelse med færrest mulig forstyrrelser av brukerne, sa en talsperson for Microsoft. 

Sier trusselen er begrenset

Selskapet hevder også at de ikke har funnet noen beviser for at sårbarheten er blitt aktivt utnyttet av hackere i stor skala, men at angrepene har et begrenset omfang. Google sier på sin side at de har beviser for at sårbarheten blir utnyttet, men har ikke antydet omfanget.

Sikkerhetshullet skal bli brukt i tandem med en annen sårbarhet som ligger i Chrome-nettleseren. Denne ble imidlertid fikset av Google allerede den 20. oktober, som teknisk leder for Project Zero, Ben Hawkes, opplyste på Twitter.   

Hawkes opplyser i en annen Twitter-melding at de forventer en fiks fra Microsoft innen den 10. november. Ifølge Hawkes er angrepene som utnytter sårbarheten ikke relatert til valget i USA, som nå er i gang.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.