Project Zero, a equipe de pesquisa de segurança eletrônica de Google, deu um ultimato a Microsoft: existe uma falha de segurança perigosa no Windows 10 e deve ser corrigida imediatamente, pois já existem hackers que estão usando para atacar PCs com este sistema operacional. Esta é uma vulnerabilidade de "dia zero", ou seja, inerente ao código e não identificada durante o desenvolvimento.
Normalmente quem descobre essas falhas as comunica a quem desenvolveu o software, garantindo-lhes Dia 90 hora de publicar um patch e fechá-lo antes de divulgar os detalhes. Neste caso, porém, o tempo concedido foi muito menor, igual a apenas sete dias, porque o bug de segurança é já foi descoberto por hackers, que já o estão usando. Explorando essa falha, que além do Windows 10 também afeta o Windows 7, os criminosos da web podem executar remotamente o código perigoso em PCs com esses dois sistemas operacionais da Microsoft. O bug foi atribuído ao código de CVE-2020-11787 e os pesquisadores do Google descobriram isso enquanto procuravam a solução para outro problema de segurança, desta vez do Chrome.
CVE-2020-11787: por que é perigoso
Os pesquisadores do Project Zero revelaram os detalhes dessa vulnerabilidade, cientes de que ela já é conhecida por hackers. Aproveitando o bug CVE-2020-11787 você pode pegar o privilégios de sistema no Windows e, conseqüentemente, faça quase o que quiser no computador atacado.
Os ataques já realizados exploraram CVE-2020-11787 junto com outra falha, desta vez em Navegador Chrome, que foi corrigido na última atualização do aplicativo que traz a versão do Chrome ou 86.0.4240.111. No entanto, o primeiro bug, o do Windows, ainda precisa ser resolvido.
De acordo com o Google, essa vulnerabilidade pode levar hackers a contornar sistemas criptografia Windows, mas a Microsoft não é da mesma opinião e não parece ter pressa em publicar o patch necessário para fechar a falha.
Project Zero contra Microsoft
O fato de os pesquisadores do Projet Zero do Google terem tornado essa vulnerabilidade pública é claramente um caminho a percorrer pressão sobre a Microsoft, para que você possa se apressar e corrigi-lo. Mas a Microsoft diz que não só não há sinais de que a falha foi explorada em grande escala por hackers, mas também que não é verdade que explorá-lo pode prejudicar o sistema de criptografia do Widows 7 e do Windows 10.
O chefe do Projeto Zero, Ben Hawker, respondeu à Microsoft no Twitter dizendo claramente que a publicação dos detalhes sobre essa vulnerabilidade foi feita para "incentivar" a empresa a corrigir o grave problema. Hawkes, em outro tweet, diz que espera que o patch chegue em 10 de novembro, que é a segunda terça-feira do mês que, de acordo com a tradição da Microsoft, é a “terça-feira de patch”, dia em que a Microsoft lança atualizações de segurança para seus produtos e serviços todos os meses. Microsoft irá realmente lançar o patch para o bug CVE-2020-11787 em 10 de novembro.
A Microsoft, entretanto, está lutando com um outro grande problema de segurança: que deriva da vulnerabilidade ZeroLogon, para o qual ele já publicou o patch que, no entanto, muitos ainda não baixaram e instalaram.
O Google descobre outro grande bug de segurança do Windows 10
