Theo Neowin, nhóm Project Zero của Google, được lập ra để nhận diện các mối đe dọa bảo mật, vừa tiết lộ về một lỗ hổng zero-day trên Windows, ảnh hưởng đến các phiên bản từ Windows 7 đến Windows 10 1903. Bài đăng của Google cho biết họ có bằng chứng về những hoạt động khai thác lỗ hổng đang diễn ra, cho phép kẻ tấn công thực thi mã lệnh với quyền cao hơn.
Lỗ hổng Windows này hiện đang được theo dõi với mã định danh CVE-2020-17087, cùng với một lỗ hổng zero-day khác của Chrome cũng bị khai thác tích cực được tiết lộ vào tuần trước (CVE-2020-15999). Những hacker có tay nghề cao hoàn toàn có thể lợi dụng cùng lúc cả hai lỗi này để thực thi mã trên một mục tiêu bị xâm nhập bằng cách thoát khỏi môi trường an toàn của trình duyệt.Đối với trường hợp của Windows, lỗ hổng bảo mật này nằm trong Windows Kernel Cryptography Driver (cng.sys), đồng thời cũng đã đính kèm một mã proof-of-concept để chỉ ra cách thức lỗ hổng có thể bị khai thác và làm hỏng hệ thống.
Microsoft đã nhanh chóng tiếp nhận thông tin và cho biết sẽ vá lỗ hổng này thông qua các bản cập nhật Patch Tuesday dự kiến phát hành vào ngày 10 tháng 11 tới đây đối với Windows 10. Trong khi đó, bản sửa lỗi cho các phiên bản Windows 7 bị ảnh hưởng sẽ chỉ được phát hành cho người dùng đã đăng ký gói hỗ trợ cập nhật bảo mật mở rộng (ESU) do hệ điều hành này hiện đã bước vào giai đoạn khai tử. Nói cách khác, không phải người dùng Windows 7 nào cũng nhận được bản vá, và họ sẽ phải chấp nhận lỗ hổng này.
Điều thú vị là lỗ hổng này được theo dõi với tên nhãn là CVE-2020-17087, gần như tương tự với nhãn CVE-2020-15999 của một lỗ hổng zero-day khác trên Chrome vừa được công bố. Đây là trường hợp kẻ xấu khai thác cả hai lỗi bảo mật để thực thi mã độc hại trên mục tiêu đã bị xâm nhập, bằng cách thoát khỏi môi trường an toàn của trình duyệt.
Lỗ hổng zero-day trên Chrome đã được Google xử lý bằng phiên bản ổn định Chrome 86.0.4240.1111. Còn về trường hợp của Windows, lỗ hổng nằm trong Windows Kernel Cryptography Driver (cng.sys), được nhóm Project Zero giải thích chi tiết trong bài đăng ở đây.