CISA ha advertido a las agencias federales de EE. UU. que protejan sus sistemas contra ataques continuos dirigidos a una vulnerabilidad muy grave en el kernel de Windows.
Registrado con el número CVE-2024-35250, este fallo de seguridad se debe a un debilidad de desreferenciación de puntero poco confiable lo que permite a atacantes locales obtener privilegios de SISTEMA en ataques de baja complejidad que no requieren interacción del usuario.
Aunque Microsoft no compartió más detalles en un aviso de seguridad publicado en junio, El equipo de investigación DEVCORE que encontró la falla y lo informó a Microsoft a través de la iniciativa Zero Day de Trend Micro, indicando que el componente vulnerable del sistema es el Microsoft Kernel Streaming Service (MSKSSRV.SYS).
Los investigadores de seguridad de DEVCORE utilizaron esta falla de seguridad de escalada de privilegios MSKSSRV para comprometer un sistema Windows 11 completamente parcheado el primer día de la competencia de piratería Pwn2Own Vancouver 2024 de este año.
Redmond solucionó el error el martes de parches de junio de 2024, y el código de explotación de prueba de concepto se lanzó en GitHub cuatro meses después.
“Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios del SISTEMA”, dijo la compañía en un comunicado. aviso de seguridad que aún no se ha actualizado para indicar que la vulnerabilidad se está explotando activamente.
DEVCORE ha publicado el siguiente vídeo de demostración de su exploit de prueba de concepto CVE-2024-35250 utilizado para piratear un dispositivo Windows 11 23H2.
Hoy, CISA también agregó una vulnerabilidad crítica de Adobe ColdFusion (seguida como CVE-2024-20767), que Adobe solucionó en marzo. Desde entonces, se han publicado en línea varias pruebas de concepto de exploits.
CVE-2024-20767 se debe a una debilidad de control de acceso inadecuado que permite a atacantes remotos no autenticados leer el sistema y otros archivos confidenciales. De acuerdo a CapaSegura7La explotación exitosa de los servidores ColdFusion con el panel de administración expuesto en línea también puede permitir a los atacantes eludir las medidas de seguridad y realizar escrituras arbitrarias en el sistema de archivos.
El motor de búsqueda Fofa rastrea Más de 145.000 servidores ColdFusion expuestos a Internet.aunque es imposible identificarlos con precisión con paneles de administración accesibles de forma remota.
LPCC agregado ambas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, etiquetándolas como explotadas activamente. Según la Directiva operativa vinculante (BOD) 22-01, las agencias federales deben proteger sus redes dentro de las tres semanas anteriores al 6 de enero.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberataques maliciosos y plantean riesgos importantes para la empresa federal”, dijo la agencia de ciberseguridad.
Si bien el catálogo KEV de CISA alerta principalmente a las agencias federales sobre errores de seguridad que deben corregirse lo antes posible, también se recomienda a las organizaciones privadas que prioricen la mitigación de estas vulnerabilidades para bloquear los ataques en curso.