CISA (Агентство по кибербезопасности и защите инфраструктуры США) предупредило федеральные агентства США о необходимости защиты систем от атак, эксплуатирующих серьезную уязвимость в ядре Windows.
Уязвимость, получившая идентификатор CVE-2024-35250, связана с использованием недоверенного ввода в качестве значения указателя (untrusted pointer dereference). Проблема безопасности позволяет локальным злоумышленникам получать права SYSTEM с помощью атак низкого уровня сложности, не требующих взаимодействия с пользователем.
Хотя Microsoft не предоставила дополнительных подробностей в опубликованном в июне бюллетени по безопасности, команда DEVCORE Research Team, которая обнаружила уязвимость и сообщила о ней через инициативу Zero Day от Trend Micro, утверждает, что проблема находится в компоненте Microsoft Kernel Streaming Service (MSKSSRV.SYS).
Исследователи DEVCORE использовали эту уязвимость повышения привилегий (MSKSSRV) для компрометации полностью обновленной системы Windows 11 в первый день конкурса по взлому Pwn2Own Vancouver 2024.
Microsoft исправила уязвимость в рамках обновления «Вторника Патчей» (Patch Tuesday) в июне 2024 года, а код доказательства концепции (proof-of-concept) был опубликован на GitHub спустя четыре месяца.
В бюллетене Microsoft сообщается:
Злоумышленник, успешно использующий эту уязвимость, может получить права SYSTEM.
Команда DEVCORE опубликовала демонстрационное видео с использованием эксплойта CVE-2024-35250 для взлома устройства под управлением Windows 11, версия 23H2.
Накануне CISA добавила в свой каталог эксплуатируемых уязвимостей критическую проблему в Adobe ColdFusion, известную как CVE-2024-20767, которая была исправлена Adobe в марте. С тех пор в Интернете появилось несколько доказательств концепции эксплойтов.
CVE-2024-20767 связана с недостаточным контролем доступа, что позволяет удаленным злоумышленникам без аутентификации читать системные и другие конфиденциальные файлы. Согласно SecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администрирования может также позволить злоумышленникам обходить меры безопасности и записывать произвольные данные в файловую систему.
По данным поисковой системы Fofa, в Интернете обнаружено более 145 000 серверов ColdFusion, однако точное количество серверов с удаленно доступной административной панелью определить невозможно.
CISA добавила обе уязвимости в каталог известных эксплуатируемых уязвимостей (KEV), пометив их как активно эксплуатируемые.
Агентство заявляет:
Такие уязвимости часто используются злоумышленниками и представляют значительный риск для федеральных предприятий.
Хотя каталог KEV CISA в первую очередь предназначен для информирования федеральных агентств, частным организациям также рекомендуется приоритетно устранять данные уязвимости, чтобы предотвратить атаки.
Последние статьи #Microsoft
• Официальные ISO-образы Windows 11 (декабрь 2025 года)
• Microsoft добавила нативную поддержку NVMe в Windows Server 2025 с приростом производительности до 80%
• Microsoft активирует службу Appxsvc по умолчанию в Windows 11, которая может нагружать процессор, память и диск
• Нативное приложение Microsoft Copilot для Windows 11 и Windows 10. Как установить и получить доступ в России
• Microsoft и LG навязывают Copilot на смарт-телевизорах. ИИ-ассистента нельзя удалить
• Как включить Полноэкранный режим Xbox на любом ПК с Windows 11, превратив его в игровую консоль