CISA heeft Amerikaanse federale agentschappen gewaarschuwd om hun systemen te beveiligen tegen voortdurende aanvallen die zich richten op een ernstige kwetsbaarheid in de Windows-kernel.

Geregistreerd als CVE-2024-35250, is dit beveiligingslek te wijten aan een dereferentiezwakte van een onbetrouwbare pointer, waardoor lokale aanvallers SYSTEM-privileges kunnen verkrijgen bij aanvallen met lage complexiteit die geen gebruikersinteractie vereisen.

Hoewel Microsoft in juni geen verdere details deelde in een beveiligingsadvies, zegt het DEVCORE-onderzoeksteam, dat het lek ontdekte en rapporteerde aan Microsoft via Trend Micro’s Zero Day Initiative, dat de kwetsbare systeemcomponent de Microsoft Kernel Streaming Service (MSKSSRV.SYS) is.

DEVCORE-beveiligingsonderzoekers gebruikten dit MSKSSRV-beveiligingslek voor rechtenescapatie om een volledig gepatcht Windows 11-systeem te compromitteren op de eerste dag van de Pwn2Own Vancouver 2024-hackwedstrijd van dit jaar.

Redmond heeft de bug verholpen tijdens de Patch Tuesday van juni 2024, met bewijs-van-concept exploitcode die vier maanden later op GitHub werd vrijgegeven.

“Een aanvaller die deze kwetsbaarheid succesvol heeft uitgebuit, kan SYSTEM-privileges verkrijgen,” zegt het bedrijf in een beveiligingsadvies dat nog moet worden bijgewerkt om aan te geven dat de kwetsbaarheid actief wordt uitgebuit.

DEVCORE publiceerde de volgende videodemonstratie van hun CVE-2024-35250-bewijs-van-concept exploit die wordt gebruikt om een Windows 11 23H2-apparaat te hacken.

Vandaag heeft CISA ook een kritieke Adobe ColdFusion-kwetsbaarheid toegevoegd (geregistreerd als CVE-2024-20767), die Adobe in maart heeft gepatcht. Sindsdien zijn meerdere proof-of-concept exploits online gepubliceerd.

CVE-2024-20767 is te wijten aan een zwakte in ontoereikende toegangscontrole die niet-geverifieerde, externe aanvallers toestaat om toegang te krijgen tot systeem- en andere gevoelige bestanden. Volgens SecureLayer7 kan succesvol misbruik van ColdFusion-servers met het beheerpanel dat online toegankelijk is, aanvallers ook in staat stellen beveiligingsmaatregelen te omzeilen en willekeurige bestandssysteemschrijvingen uit te voeren.

De Fofa-zoekmachine volgt meer dan 145.000 ColdFusion-servers die op internet worden blootgesteld, hoewel het onmogelijk is om exact aan te geven welke beheerpaneel op afstand toegankelijk zijn.

CISA heeft beide kwetsbaarheden toegevoegd aan zijn catalogus van Bekende Uitgebuite Kwetsbaarheden en heeft ze aangemerkt als actief uitgebuit. Zoals vereist door de Bindende Operationele Richtlijn (BOD) 22-01, moeten federale agentschappen hun netwerken binnen drie weken beveiligen, vóór 6 januari.

“Dit soort kwetsbaarheden zijn veelvoorkomende aanvalsvectoren voor kwaadaardige cyberacteurs en vormen aanzienlijke risico’s voor de federale onderneming,” zei het cyberveiligheidsagentschap.

Hoewel CISA’s KEV-catalogus voornamelijk federale agentschappen waarschuwt voor beveiligingsfouten die zo snel mogelijk moeten worden gepatcht, wordt private organisaties ook geadviseerd deze kwetsbaarheden met prioriteit te verhelpen om voortdurende aanvallen te blokkeren.