Google Project Zero là một trong những tổ chức bảo mật được đánh giá rất cao về mặt chuyên môn hiện nay. Những phát hiện của nhóm không chỉ có ý nghĩa quan trọng đối với chính sản phẩm của Google, mà còn với cả các sản phẩm phần mềm, dịch vụ của nhà phát triển khác.
Theo quy định của Google Project Zero, sau khi lỗ hổng bảo mật được phát hiện, các chuyên gia của nhóm sẽ chủ động liên hệ với đơn vị sở hữu phần mềm để cung cấp thông tin chi tiết về lỗ hổng. Nhà phát triển sẽ có 90 ngày để khắc phục vấn đề trước khi Google công khai lỗ hổng đó. Tùy thuộc vào mức độ phức tạp của yêu cầu khắc phục, đôi khi Google cũng sẽ nới lỏng mốc thời gian cần thiết để nhà phát triển vá lỗi.
Ngày 24 tháng 12 vừa qua, đội ngũ Google Project Zero đã tiết lộ công khai một lỗi bảo mật cực kỳ nghiêm trọng trong Windows. Nếu bị khai thác thành công, lỗ hổng này có thể dẫn đến hành vi leo thang đặc quyền nguy hiểm trên hệ thống nạn nhân.
Quy trình dẫn đến lỗ hổng khá phức tạp. Tuy nhiên có thể được tóm gọn lại như sau: Một quy trình độc hại có thể gửi thông báo Local Procedure Call (LPC) tới quy trình Windows splwow64.exe, qua đó kẻ tấn công có thể ghi một giá trị bất kỳ vào một địa chỉ tùy ý trong không gian bộ nhớ của splwow64. Về cơ bản, điều đó có nghĩa là kẻ tấn công có thể kiểm soát địa chỉ đích này cũng như bất kỳ nội dung nào được sao chép vào nó.
Trên thực tế, đây không hẳn là một lỗ hổng mới. Trước Google Project Zero, đã có một nhà nghiên cứu bảo mật tại Kaspersky báo cáo nó vào đầu năm nay, và Microsoft cũng đã tung ra bản vá vào tháng 6. Tuy nhiên, bản vá này đã được Google Project Zero phân tích và xác định là chưa hoàn thiện. Đội ngũ bảo mật Google cho biết bản sửa lỗi của Microsoft chưa thực sự triệt để, có nghĩa là kẻ tấn công vẫn có thể khai thác được lỗ hổng bằng cách thực hiện một số tinh chỉnh trong quy trình khai thác.
Zero-day này đã được Google Project Zero báo cáo riêng cho Microsoft vào ngày 24 tháng 9, với thời hạn 90 ngày tiêu chuẩn để công ty Redmond khắc phục vấn đề với hạn chót là vào ngày 24 tháng 12.
Ban đầu Microsoft dự định phát hành bản sửa lỗi vào tháng 11, nhưng khung thời gian phát hành đã bị lùi lại sang tháng 12. Sau đó, phía Microsoft tiếp tục phản hồi với Google rằng họ đã xác định được thêm một số vấn đề mới trong quá trình thử nghiệm và sẽ phát hành một bản vá tổng thể vào tháng 1 năm 2021.
Ngày 8 tháng 12, hai bên đã gặp nhau để thảo luận về tiến độ phát hành bản vá và các bước tiếp theo. Kết quả là Google Project Zero không đồng ý gia hạn thêm thời gian cho Microsoft, và lỗ hổng cùng với mã proof-of-concept đã được tiết lộ công khai vào ngày 24 như trên.
Báo cáo kỹ thuật của Google không nêu rõ lỗ hổng này ảnh hưởng đến phiên bản Windows nào. Tuy nhiên thông báo của Kaspersky từ vài tháng trước cho thấy những kẻ tấn công đã sử dụng nó để nhắm mục tiêu đến các bản build mới của Windows 10.
Cách đây không lâu, đội ngũ Project Zero cũng đã tình cờ phát hiện ra một lỗ hổng zero-day nghiêm trọng tồn tại trên nền tảng Windows, ảnh hưởng trực tiếp đến các phiên bản từ Windows 7 đến Windows 10 version 1903 (mã định danh CVE-2020-17087), và một lỗ hổng Chrome có mã định danh CVE-2020-15999.
