NCSC ønsker å varsle om en nulldagssårbarhet, CVE-2020-17087 1, i Microsoft Windows operativsystemer som ble offentliggjort 30. oktober. Sårbarheten ble oppdaget av sikkerhetsforskere hos Google 2 og påvirker minimum Windows 7 og Windows 10 3.

Sårbarheten har blitt observert utnyttet  i kombinasjon med en separat sårbarhet i Google Chrome, CVE-2020-15999 4, som fikk sikkerhetsoppdateringer forrige uke. Chrome-sårbarheten utnyttes først til å kjøre ondsinnet kode i nettleseren, og Windows-sårbarheten til å bryte ut av den innebygde sandkassen til Chrome.

Det er forventet at Microsoft vil publisere sikkerhetsoppdateringer som retter Windows-sårbarheten i deres neste månedelige sikkerhetsoppdateringer 10. november 2020.

NCSC er kjent med rapporteringer om aktiv utnyttelse av sårbarheten, men har p.t. ikke observert utnyttelsesforsøk i Norge.

NCSC anbefaler systemeiere å oppdatere sårbare systemer så snart sikkerhetsoppdateringer er tilgjengelige.

Referanser:
1https://nvd.nist.gov/vuln/detail/CVE-2020-17087
2https://bugs.chrome.org/p/project-zero/issues/detail?id=2104
3https://techcrunch.com/2020/10/30/google-microsoft-windows-bug-attack/
4https://nvd.nist.gov/vuln/detail/CVE-2020-15999