Jump to content
  • Project Zero do Google detalha conjunto de vulnerabilidades encontradas


    O Project Zero do Google divulgou nesta terça-feira, 12 de janeiro, a série In-the-Wild com 6 publicações detalhando um conjunto de vulnerabilidades encontradas e exploradas. 

    A série de publicações se refere a um ataque de watering hole, ocorrido no primeiro trimestre de 2020, e realizado por um ator altamente sofisticado. O projeto descobrou dois servidores de exploração que fornecem cadeias de exploração diferentes por meio de ataques watering hole, sendo um servidor direcionado aos usuários do Windows e outro direcionado ao Android. Os servidores Windows e Android usaram exploits do Chrome para a execução remota de código inicial, incluindo 0-days para Chrome e Windows. Para Android, as cadeias de exploit usaram exploits n-day conhecidas publicamente. 

    As quatro vulnerabilidade 0-day descobertas foram corrigidas pelos fornecedores. São elas:

    • CVE-2020-6418 - Vulnerabilidade do Chrome no TurboFan (corrigido em fevereiro de 2020)
    • CVE-2020-0938 - Vulnerabilidade de fonte no Windows (corrigido em abril de 2020)
    • CVE-2020-1020 - Vulnerabilidade de fonte no Windows (corrigido em abril de 2020)
    • CVE-2020-1027 - Vulnerabilidade Windows CSRSS (corrigido em abril de 2020)

    O Google explica que o Project Zero tem a meta de “tornar o (encontro de) 0-days difícil” usando, principalmente, a pesquisa de segurança ofensiva. "Um dos nossos esforços nesse sentido é o rastreamento de casos publicamente conhecidos de vulnerabilidades 0-day. Usamos essas informações para orientar a pesquisa", explica. Essa iniciativa é feita em parceria com o Google Threat Analysis Group (TAG).

    As postagens da série In-the-Wild compartilham os detalhes técnicos de diferentes partes da cadeia de exploit, focadas no que a equipe do Project Zero achou mais interessante. São elas:

    Nos textos (em inglês) você encontra uma análise detalhada das vulnerabilidades sendo exploradas e cada uma das diferentes técnicas de exploração; uma análise profunda da classe de bug de uma das explorações do Chrome; e uma análise detalhada do código de pós-exploração do Android. 


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...