Google décortique un cocktail de 11 zero days sur iOS, Android et Windows
L’équipe de chercheurs en sécurité Project Zero de Google poursuit le décryptage d’une vaste cyberattaque ayant compromis en 2020 des systèmes Windows, iOS et Android. Parmi les 7 vulnérabilités identifiées, trois permettaient de l’escalade de privilèges via Chrome et Safari. Elles complètent 4 failles critiques déjà détaillées.
Démarrée en début d’année, l’explication de texte des chercheurs en sécurité de l’équipe Project Zero de Google sur une vaste cyberattaque multi OS de 2020 se poursuit. Après avoir détaillé 4 failles ayant fait l’objet de puissantes et efficaces chaines d’attaques, à savoir les CVE-2020-6428 (TurboFan dans Chrome), CVE-2020-0938 et CVE-2020-1020 (Font dans Windows) et CVE-2020-1027 (WindowsCSRSS), 7 autres viennent d’être analysées.
« Les vulnérabilités couvrent un spectre assez large de problèmes, d’une faille JIT moderne à d’importants problèmes de cache relatifs à des bugs de police », a expliqué la chercheuse en sécurité Maddie Stone de Google Project Zero. « Dans l’ensemble, chacun de ces exploits a fait l’objet d’un travail de compréhension approfondie ». Parmi les 7 dernières failles analysées, la CVE-2020-15999 s’est montrée particulièrement redoutable, utilisant une méthode d’exploit jusqu’alors jamais observée par l’équipe de chercheurs de Google grâce à des méthodes d’obfuscation variées ayant nécessité beaucoup de temps pour les comprendre.
D’autres chaines d’attaques possibles mais pas découvertes
Les autres failles passées en revue par Google ont été les CVE-2020-17087 (débordement de mémoire tampon Windows dans cng.sys), CVE-2020-16009 (Chrome turbofan type confusion), CVE-2020-16010 (dépassement de mémoire tampon Chrome pour Android), CVE-2020-27930 (lecture/écriture dans la stack arbitraire de Safari via polices Type 1), CVE-2020-27950 (divulgation de mémoire noyau iOS XNU kernel dans des messages mach), et la CVE-2020-27932 (iOS type confusion au niveau noyau). Dans le cadre de son analyse, l’équipe Project Zero a découvert deux serveurs ayant servi à activer plusieurs chaines d’exploit via une attaque dite par point d’eau (watering hole). Le premier, actif pendant plus d’une semaine, a ciblé des systèmes iOS et Windows, et le second, opérationnel pendant près de 36 heures, avait dans son viseur les systèmes Android.
« Au total, nous avons collecté: 1 chaîne d’attaque complète ciblant Windows 10 entièrement corrigée avec Google Chrome, 2 chaînes d’attaque partielles entièrement corrigées ciblant 2 terminaux Android 10 différents avec Google Chrome et le navigateur Samsung, et des exploits RCE pour iOS 11-13 et un exploit d’escalade de privilèges pour iOS 13 », a expliqué Maddie Stone. « Les terminaux sous iOS, Android et Windows étaient les seuls que nous avons testés alors que les serveurs étaient encore actifs. L’absence d’autres chaînes d’exploitation ne signifie pas que ces chaînes n’existaient pas ».
Pour plus d’information : https://www.lemondeinformatique.fr/actualites/lire-coursierfr-passe-au-mdm-pour-gerer-et-securiser-sa-flotte-de-smartphones-81753.html
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram