CISA (Агентство по кибербезопасности и защите инфраструктуры США) предупредило федеральные агентства США о необходимости защиты систем от атак, эксплуатирующих серьезную уязвимость в ядре Windows.
Уязвимость, получившая идентификатор CVE-2024-35250, связана с использованием недоверенного ввода в качестве значения указателя (untrusted pointer dereference). Проблема безопасности позволяет локальным злоумышленникам получать права SYSTEM с помощью атак низкого уровня сложности, не требующих взаимодействия с пользователем.
Хотя Microsoft не предоставила дополнительных подробностей в опубликованном в июне бюллетени по безопасности, команда DEVCORE Research Team, которая обнаружила уязвимость и сообщила о ней через инициативу Zero Day от Trend Micro, утверждает, что проблема находится в компоненте Microsoft Kernel Streaming Service (MSKSSRV.SYS).
Исследователи DEVCORE использовали эту уязвимость повышения привилегий (MSKSSRV) для компрометации полностью обновленной системы Windows 11 в первый день конкурса по взлому Pwn2Own Vancouver 2024.
Microsoft исправила уязвимость в рамках обновления «Вторника Патчей» (Patch Tuesday) в июне 2024 года, а код доказательства концепции (proof-of-concept) был опубликован на GitHub спустя четыре месяца.
В бюллетене Microsoft сообщается:
Злоумышленник, успешно использующий эту уязвимость, может получить права SYSTEM.
Команда DEVCORE опубликовала демонстрационное видео с использованием эксплойта CVE-2024-35250 для взлома устройства под управлением Windows 11, версия 23H2.
Накануне CISA добавила в свой каталог эксплуатируемых уязвимостей критическую проблему в Adobe ColdFusion, известную как CVE-2024-20767, которая была исправлена Adobe в марте. С тех пор в Интернете появилось несколько доказательств концепции эксплойтов.
CVE-2024-20767 связана с недостаточным контролем доступа, что позволяет удаленным злоумышленникам без аутентификации читать системные и другие конфиденциальные файлы. Согласно SecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администрирования может также позволить злоумышленникам обходить меры безопасности и записывать произвольные данные в файловую систему.
По данным поисковой системы Fofa, в Интернете обнаружено более 145 000 серверов ColdFusion, однако точное количество серверов с удаленно доступной административной панелью определить невозможно.
CISA добавила обе уязвимости в каталог известных эксплуатируемых уязвимостей (KEV), пометив их как активно эксплуатируемые.
Агентство заявляет:
Такие уязвимости часто используются злоумышленниками и представляют значительный риск для федеральных предприятий.
Хотя каталог KEV CISA в первую очередь предназначен для информирования федеральных агентств, частным организациям также рекомендуется приоритетно устранять данные уязвимости, чтобы предотвратить атаки.
Последние статьи #Microsoft
• Установка инсайдерских сборок Windows 11 с помощью приложения Comss Insider или Comss.one DNS
• Microsoft прекратила принудительное обновление Windows 10 до Windows 11 с помощью скрытой установки KB5001716
• Windows 11 Build 27891 (Canary): Что нового, готовые ISO-образы
• Windows 11 достигает рекордной популярности среди геймеров
• KB5060829 вызывает ложные ошибки брандмауэра в Windows 11, версия 24H2 — Microsoft работает над исправлением
• Microsoft устранила проблему с функцией «Печать в PDF» в Windows 11, версия 24H2