Non bastasse la minaccia di Zerologon e i soliti problemi di sicurezza tipici dell’ecosistema Windows, Microsoft deve ora fare i conti con il nuovo pericolo rappresentato dalla vulnerabilità CVE-2020-17087. La falla è di tipo 0-day, vale a dire che è già attivamente sfruttata dai cyber-criminali, ma la patch correttiva dovrebbe arrivare a breve.
Scoperta dai “cacciatori di bug” di Google specializzati in questo genere di minaccia (Project Zero), l’ennesima vulnerabilità zero-day di Windows è localizzata nel driver Windows Kernel Cryptography (cng.sys) e si presenta come un classico caso di buffer overflow. Provando a inserire un numero troppo grande per un buffer troppo piccolo e convertendolo da binario a esadecimale, un malintenzionato potrebbe generare un crash del sistema oppure, nel peggiore dei casi, aumentare i propri privilegi di accesso e bypassare la sandbox per il codice insicuro.
Il team di Project Zero sostiene che la vulnerabilità CVE-2020-17087 risulta già sfruttata da ignoti criminali impegnati in attacchi mirati, e dice di aver fornito un “tempo di reazione” a Microsoft di sette giorni prima di rendere l’esistenza della falla (e del possibile codice sfruttabile per un attacco) un affare pubblico.
Secondo quanto comunicato da Ben Hawkes di Project Zero, il bug CVE-2020-17087 verrà corretto in occasione del prossimo Patch Tuesday di novembre 2020. Al momento il rischio coinvolge Windows 10 ma anche Windows 7, sebbene non vi siano segnali del fatto che la falla sia stata impiegata per attaccare i sistemi di voto elettronico impiegati nel corso delle elezioni presidenziali americane.