В мае этого года исследователи Trend Micro Zero Day Initiative (ZDI) опубликовали информацию сразу о пяти уязвимостях в операционной системе Windows, четыре из которых имеют высокую степень опасности. Все они были довольно оперативно устранены. Например, уязвимость с кодом CVE-2020-0986 была закрыта в июньском накопительном обновлении.
Но не всё так радужно. Мэдди Стоун (Maddie Stone), исследователь Google Project Zero, выяснила, что выпущенный патч не полностью устранил уязвимость. Microsoft попросту изменила смещение указателей, так что злоумышленник по-прежнему может использовать уязвимость, зная эти данные.
In May, Kaspersky (@oct0xor) discovered CVE-2020-0986 in Windows splwow64 was exploited itw as a 0day. Microsoft released a patch in June, but that patch didnt fix the vuln. After reporting that bad fix in Sept under a 90day deadline, it's still not fixed. https://t.co/WDGNs3JGka
— Maddie Stone (@maddiestone) December 23, 2020
Суть в проблемы в том, что вредоносный процесс может воспользоваться локальным вызовом процедур (LPC) в хост-процессе splwow64.exe, чтобы записать произвольные данные по произвольному адресу в оперативной памяти. Таким образом, злоумышленник может контролировать это пространство в памяти, получая доступ к содержимому, которое в нём оказывается.
Google Project Zero отправила сведения об уязвимости в Microsoft ещё 24 сентября. Согласно политике Google, информация об уязвимости публикуется в открытом доступе через 90 дней после уведомления производителя о проблеме. Установленный срок истёк 24 декабря. Известно, что Microsoft планировала выпустить исправление в ноябре, затем перенесла его на декабрь, а потом уведомила Google о возникших проблемах в тестировании. В итоге Microsoft намерена выпустить патч в январе 2021 года.
В техническом отчёте Google не указывается информация о том, какие версии Windows подвержены данной уязвимости, однако отчёт «Лаборатории Касперского», опубликованный несколько месяцев назад, указывает на то, что злоумышленники использовали уязвимости для атаки на актуальные версии Windows 10.
Команда Google Project Zero занимается исследованием вопросов безопасности различного программного обеспечения, выпускаемого как непосредственно Google, так и другими компаниями.