La CISA a averti les agences fédérales américaines de sécuriser leurs systèmes contre les attaques en cours ciblant une vulnérabilité très grave du noyau Windows.
Traquée sous le numéro CVE-2024-35250, cette faille de sécurité est due à un faiblesse de déréférencement de pointeur non fiable qui permet aux attaquants locaux d’obtenir les privilèges SYSTEM dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.
Bien que Microsoft n’ait pas partagé plus de détails dans un avis de sécurité publié en juin, le L’équipe de recherche DEVCORE qui a trouvé la faille et l’a signalé à Microsoft via l’initiative Zero Day de Trend Micro, indiquant que le composant système vulnérable est le service de streaming du noyau Microsoft (MSKSSRV.SYS).
Les chercheurs en sécurité de DEVCORE ont utilisé cette faille de sécurité d’élévation de privilèges MSKSSRV pour compromettre un système Windows 11 entièrement corrigé le premier jour du concours de piratage Pwn2Own Vancouver 2024 de cette année.
Redmond a corrigé le bug lors du Patch Tuesday de juin 2024, avec un code d’exploitation de preuve de concept publié sur GitHub quatre mois plus tard.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM », déclare la société dans un communiqué. avis de sécurité qui n’a pas encore été mis à jour pour indiquer que la vulnérabilité est en cours d’exploitation active.
DEVCORE a publié la démonstration vidéo suivante de son exploit de preuve de concept CVE-2024-35250 utilisé pour pirater un appareil Windows 11 23H2.
Aujourd’hui, CISA a également ajouté une vulnérabilité critique d’Adobe ColdFusion (suivie comme CVE-2024-20767), qu’Adobe a corrigé en mars. Depuis, plusieurs exploits de validation de principe ont été publiés en ligne.
CVE-2024-20767 est dû à une faiblesse du contrôle d’accès inapproprié qui permet à des attaquants distants non authentifiés de lire le système et d’autres fichiers sensibles. Selon SecureLayer7l’exploitation réussie des serveurs ColdFusion avec le panneau d’administration exposé en ligne peut également permettre aux attaquants de contourner les mesures de sécurité et d’effectuer des écritures arbitraires sur le système de fichiers.
Le moteur de recherche Fofa trace plus de 145 000 serveurs ColdFusion exposés à Internetbien qu’il soit impossible d’identifier précisément ceux-ci avec des panneaux d’administration accessibles à distance.
LPCC ajouté les deux vulnérabilités à son catalogue de vulnérabilités exploitées connues, en les étiquetant comme activement exploitées. Conformément à la directive opérationnelle contraignante (BOD) 22-01, les agences fédérales doivent sécuriser leurs réseaux dans un délai de trois semaines avant le 6 janvier.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et posent des risques importants pour l’entreprise fédérale », a déclaré l’agence de cybersécurité.
Alors que le catalogue KEV de CISA alerte principalement les agences fédérales sur les bugs de sécurité qui doivent être corrigés dès que possible, il est également conseillé aux organisations privées de donner la priorité à l’atténuation de ces vulnérabilités afin de bloquer les attaques en cours.
Un porte-parole de Microsoft n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par BleepingComputer plus tôt dans la journée pour plus de détails concernant l’exploitation sauvage du CVE-2024-35250.
