Уязвимость ядра Windows используется для получения прав SYSTEM в реальных атаках

CISA (Агентство по кибербезопасности и защите инфраструктуры США) предупредило федеральные агентства США о необходимости защиты систем от атак, эксплуатирующих серьезную уязвимость в ядре Windows.

Уязвимость, получившая идентификатор CVE-2024-35250, связана с использованием недоверенного ввода в качестве значения указателя (untrusted pointer dereference). Проблема безопасности позволяет локальным злоумышленникам получать права SYSTEM с помощью атак низкого уровня сложности, не требующих взаимодействия с пользователем.

Хотя Microsoft не предоставила дополнительных подробностей в опубликованном в июне бюллетени по безопасности, команда DEVCORE Research Team, которая обнаружила уязвимость и сообщила о ней через инициативу Zero Day от Trend Micro, утверждает, что проблема находится в компоненте Microsoft Kernel Streaming Service (MSKSSRV.SYS).

Исследователи DEVCORE использовали эту уязвимость повышения привилегий (MSKSSRV) для компрометации полностью обновленной системы Windows 11 в первый день конкурса по взлому Pwn2Own Vancouver 2024.

Microsoft исправила уязвимость в рамках обновления «Вторника Патчей» (Patch Tuesday) в июне 2024 года, а код доказательства концепции (proof-of-concept) был опубликован на GitHub спустя четыре месяца.

В бюллетене Microsoft сообщается:

Злоумышленник, успешно использующий эту уязвимость, может получить права SYSTEM.

Команда DEVCORE опубликовала демонстрационное видео с использованием эксплойта CVE-2024-35250 для взлома устройства под управлением Windows 11, версия 23H2.

Накануне CISA добавила в свой каталог эксплуатируемых уязвимостей критическую проблему в Adobe ColdFusion, известную как CVE-2024-20767, которая была исправлена Adobe в марте. С тех пор в Интернете появилось несколько доказательств концепции эксплойтов.

CVE-2024-20767 связана с недостаточным контролем доступа, что позволяет удаленным злоумышленникам без аутентификации читать системные и другие конфиденциальные файлы. Согласно SecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администрирования может также позволить злоумышленникам обходить меры безопасности и записывать произвольные данные в файловую систему.

По данным поисковой системы Fofa, в Интернете обнаружено более 145 000 серверов ColdFusion, однако точное количество серверов с удаленно доступной административной панелью определить невозможно.

CISA добавила обе уязвимости в каталог известных эксплуатируемых уязвимостей (KEV), пометив их как активно эксплуатируемые.

Агентство заявляет:

Такие уязвимости часто используются злоумышленниками и представляют значительный риск для федеральных предприятий.

Хотя каталог KEV CISA в первую очередь предназначен для информирования федеральных агентств, частным организациям также рекомендуется приоритетно устранять данные уязвимости, чтобы предотвратить атаки.