Эксплойт в сети: ошибка в ядре Windows требует реакции до 6 января

CISA предупредило федеральные агентства о необходимости защиты систем от текущих атак, направленных на уязвимость ядра Windows.

Ошибка отслеживается как CVE-2024-35250 (оценка CVSS: 7.8) и связана с некорректным разыменованием указателя (Untrusted Pointer Dereference). Позволяет локальным злоумышленникам получать права SYSTEM при простых атаках, не требующих взаимодействия с пользователем. Исследователи DEVCORE, обнаружившие и передавшие проблему в Microsoft, сообщают, что уязвимый компонент системы — Microsoft Kernel Streaming Service (MSKSSRV.SYS).

На конкурсе Pwn2Own Vancouver 2024 команда DEVCORE использовала уязвимость для повышения привилегий и компрометации полностью обновлённой системы Windows 11. Microsoft устранила уязвимость во время июньского обновления Patch Tuesday 2024. Через 4 месяца на GitHub появился рабочий код эксплойта.

Кроме того, CISA также добавила в каталог Known Exploited Vulnerabilities (KEV) критическую уязвимость Adobe ColdFusion, отслеживаемую как CVE-2024-20767 (оценка CVSS: 7.4). Проблема, устранённая Adobe в марте, возникает из-за недостаточного контроля доступа и позволяет удалённым неаутентифицированным злоумышленникам считывать системные и конфиденциальные файлы.

По данным SecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администратора позволяет обойти меры безопасности и выполнять произвольные записи в файловой системе. Поисковая система Fofa показывает, что в сети доступны более 145 000 серверов ColdFusion, однако точное количество с открытыми админ-панелями установить невозможно.

Обе уязвимости добавлены в каталог KEV с пометкой об активной эксплуатации. Согласно директиве BOD 22-01, федеральные агентства обязаны защитить свои сети в течение трёх недель — до 6 января. В CISA подчеркнули, что подобные уязвимости являются частыми векторами атак и представляют серьёзный риск для федеральной инфраструктуры. Несмотря на то, что каталог KEV предназначен для госучреждений, частным компаниям также рекомендуется незамедлительно устранить уязвимости для защиты от текущих атак.