CISA (Агентство по кибербезопасности и защите инфраструктуры США) предупредило федеральные агентства США о необходимости защиты систем от атак, эксплуатирующих серьезную уязвимость в ядре Windows.
Уязвимость, получившая идентификатор CVE-2024-35250, связана с использованием недоверенного ввода в качестве значения указателя (untrusted pointer dereference). Проблема безопасности позволяет локальным злоумышленникам получать права SYSTEM с помощью атак низкого уровня сложности, не требующих взаимодействия с пользователем.
Хотя Microsoft не предоставила дополнительных подробностей в опубликованном в июне бюллетени по безопасности, команда DEVCORE Research Team, которая обнаружила уязвимость и сообщила о ней через инициативу Zero Day от Trend Micro, утверждает, что проблема находится в компоненте Microsoft Kernel Streaming Service (MSKSSRV.SYS).
Исследователи DEVCORE использовали эту уязвимость повышения привилегий (MSKSSRV) для компрометации полностью обновленной системы Windows 11 в первый день конкурса по взлому Pwn2Own Vancouver 2024.
Microsoft исправила уязвимость в рамках обновления «Вторника Патчей» (Patch Tuesday) в июне 2024 года, а код доказательства концепции (proof-of-concept) был опубликован на GitHub спустя четыре месяца.
В бюллетене Microsoft сообщается:
Злоумышленник, успешно использующий эту уязвимость, может получить права SYSTEM.
Команда DEVCORE опубликовала демонстрационное видео с использованием эксплойта CVE-2024-35250 для взлома устройства под управлением Windows 11, версия 23H2.
Накануне CISA добавила в свой каталог эксплуатируемых уязвимостей критическую проблему в Adobe ColdFusion, известную как CVE-2024-20767, которая была исправлена Adobe в марте. С тех пор в Интернете появилось несколько доказательств концепции эксплойтов.
CVE-2024-20767 связана с недостаточным контролем доступа, что позволяет удаленным злоумышленникам без аутентификации читать системные и другие конфиденциальные файлы. Согласно SecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администрирования может также позволить злоумышленникам обходить меры безопасности и записывать произвольные данные в файловую систему.
По данным поисковой системы Fofa, в Интернете обнаружено более 145 000 серверов ColdFusion, однако точное количество серверов с удаленно доступной административной панелью определить невозможно.
CISA добавила обе уязвимости в каталог известных эксплуатируемых уязвимостей (KEV), пометив их как активно эксплуатируемые.
Агентство заявляет:
Такие уязвимости часто используются злоумышленниками и представляют значительный риск для федеральных предприятий.
Хотя каталог KEV CISA в первую очередь предназначен для информирования федеральных агентств, частным организациям также рекомендуется приоритетно устранять данные уязвимости, чтобы предотвратить атаки.
Последние статьи #Microsoft
• Обновление KB5065789 (Build 26100.6718) Preview для Windows 11, версия 24H2
• Обновление KB5065789 (Build 26200.6718) Preview для Windows 11, версия 25H2
• WMIC будет удален в Windows 11, версия 25H2 — Microsoft предлагает перейти на PowerShell
• Активисты требуют от Microsoft продлить бесплатную поддержку Windows 10
• Windows 365 Boot получил ряд новых функций
• Официальные ISO-образы Windows 11 и Windows 10 (сентябрь 2025 года)