Google обнародовала Windows 0-day под атакой

Вчера стало известно, что в Windows присутствует уязвимость нулевого дня, которая уже пущена в ход злоумышленниками. Согласно блог-записи Google, новая проблема представляет собой баг повышения привилегий, кроющийся в ядре Windows. Исследователи предупреждают, что его можно использовать для исполнения кода за пределами песочницы.

О наличии новой бреши Microsoft была поставлена в известность десять дней назад. Исследователи предали уязвимость гласности в соответствии с политикой Google в отношении раскрытия таких инцидентов: согласно принятым в компании правилам, разработчик должен пропатчить или обнародовать брешь под атакой по истечении семи дней после получения отчета.

Microsoft пока ни то, ни другое не сделала и недовольна тем, что исследователи поторопились с публикацией. «Мы за скоординированное раскрытие уязвимостей, и то, что сделала Google, потенциально повышает риски для пользователей, – заявил представитель Microsoft журналистам Threatpost. – Windows – единственная платформа, гарантирующая клиентам расследование оформленных отчетом проблем с безопасностью и проактивное обновление затронутых устройств в кратчайшие сроки. В обеспечение лучшей защиты мы рекомендуем клиентам использовать Windows 10 и браузер Microsoft Edge».

В блог-записи Google аналитики Нил Мехта (Neel Mehta) и Билли Леонард (Billy Leonard) отметили, что отчет был направлен в Microsoft 21 октября, в тот же день, когда Google раскрыла другую уязвимость 0-day, в Adobe Flash Player. Патч для CVE-2016-7855 во Flash вышел через пять дней, во внеочередном порядке, так как на тот момент эта брешь тоже использовалась в реальных атаках.

Что касается новой уязвимости в Windows, ее детали пока скудны; Google просто хотела уведомить пользователей и поторопить Microsoft с выпуском патча. В блоге исследователи охарактеризовали свою находку следующим образом:

«Это уязвимость локального повышения привилегий, присутствующая в ядре Windows, которую можно использовать для выхода за пределы песочницы. Она срабатывает, когда win32k.sys осуществляет системный вызов NtSetWindowLongPtr(), установив индекс GWLP_ID для окна с дескриптором GWL_STYLE в значение WS_CHILD».

Так как уязвимость можно спровоцировать чеpез win32k.sys, путем формирования специального системного вызова NtSetWindowLongPtr(), специалисты Google сообщают, что вплоть до выхода патча песочница Chrome будет блокировать сиcтемные вызовы win32k.sys, используя Win32k lockdown в Windows 10.

Кроме того, исследователи сообщают, что одновремeнно с 0-day уязвимостью в Windows был обнаружен и критический use-after-free баг в Adobe Flash Player (CVE-2016-7855), который тоже был взят на вооружeние хакерами и использовался против пользователeй Windows 7, 8.1 и 10. Однако компания Adobe сориентировалась быстрее Microsoft и уже представила экcтренный патч.

По свидетельству Google, использование браузера Chrome способно ограничить эксплойт: «Песочница Chrome блокирует системные вызовы win32k.sys на Windows 10 с помощью специального механизма защиты Win32k, предотвращая эксплуатацию этой уязвимости побега из песочницы».