CISA предупредилофедеральные агентства о необходимости защиты систем от текущих атак, направленных на уязвимость ядра Windows.
Ошибка отслеживается как CVE-2024-35250(оценка CVSS: 7.8) и связанас некорректным разыменованием указателя (Untrusted Pointer Dereference). Позволяет локальным злоумышленникам получать права SYSTEM при простых атаках, не требующих взаимодействия с пользователем. Исследователи DEVCORE, обнаружившиеи передавшие проблему в Microsoft, сообщают, что уязвимый компонент системы – Microsoft Kernel Streaming Service (MSKSSRV.SYS).
На конкурсе Pwn2Own Vancouver 2024 команда DEVCORE использовала уязвимость для повышения привилегий и компрометации полностью обновлённой системы Windows 11. Microsoft устранила уязвимость во время июньского обновления Patch Tuesday 2024. Через 4 месяца на GitHub появился рабочий код эксплойта.
Кроме того, CISA также добавила в каталог Known Exploited Vulnerabilities (KEV) критическую уязвимость Adobe ColdFusion, отслеживаемую как CVE-2024-20767(оценка CVSS: 7.4). Проблема, устранённаяAdobe в марте, возникает из-за недостаточного контроля доступа и позволяет удалённым неаутентифицированным злоумышленникам считывать системные и конфиденциальные файлы.
По даннымSecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администратора позволяет обойти меры безопасности и выполнять произвольные записи в файловой системе. Поисковая система Fofa показывает,что в сети доступны более 145 000 серверов ColdFusion, однако точное количество с открытыми админ-панелями установить невозможно.
Обе уязвимости добавленыв каталог KEVс пометкой об активной эксплуатации. Согласно директиве BOD 22-01,федеральные агентства обязаны защитить свои сети в течение трёх недель – до 6 января. В CISA подчеркнули, что подобные уязвимости являются частыми векторами атак и представляют серьёзный риск для федеральной инфраструктуры. Несмотря на то, что каталог KEV предназначен для госучреждений, частным компаниям также рекомендуется незамедлительно устранить уязвимости для защиты от текущих атак.