A CISA alertou agências federais dos EUA para protegerem seus sistemas contra ataques contínuos direcionados a uma vulnerabilidade crítica do kernel do Windows.
Identificada como
CVE-2024-35250
, essa falha de segurança se deve a uma fraqueza de dereferência de ponteiro não confiável que permite a atacantes locais obter privilégios de SYSTEM em ataques de baixa complexidade que não requerem interação do usuário.
Embora a Microsoft não tenha compartilhado mais detalhes em um comunicado de segurança publicado em junho, a equipe de pesquisa da DEVCORE, que encontrou a falha e a reportou à Microsoft por meio da Iniciativa Zero-Day da Trend Micro, diz que o componente de sistema vulnerável é o Serviço de Streaming do Kernel da Microsoft (MSKSSRV.SYS).
Os pesquisadores de segurança da DEVCORE usaram essa falha de escalonamento de privilégios do MSKSSRV para comprometer um sistema Windows 11 totalmente atualizado no primeiro dia do concurso de hacking Pwn2Own Vancouver 2024 deste ano.
A Microsoft corrigiu o bug durante o Patch Tuesday de junho de 2024, com o código de exploração de conceito sendo liberado no GitHub quatro meses depois.
"Um atacante que conseguisse explorar essa vulnerabilidade poderia obter privilégios de SYSTEM," diz a empresa em um comunicado de segurança que ainda não foi atualizado para indicar que a vulnerabilidade está sob exploração ativa.
A DEVCORE publicou o seguinte vídeo de demonstração de seu exploit de conceito para a
CVE-2024-35250
sendo usado para hackear um dispositivo Windows 11 23H2.
Hoje, a CISA também adicionou uma vulnerabilidade crítica do Adobe ColdFusion (identificada como
CVE-2024-20767
), que a Adobe corrigiu em março.
Desde então, vários exploits de conceito foram publicados online.
A
CVE-2024-20767
se deve a uma fraqueza de controle de acesso inadequado que permite a atacantes remotos não autenticados ler o sistema e outros arquivos sensíveis.
De acordo com a SecureLayer7, a exploração bem-sucedida de servidores ColdFusion com o painel de administração exposto online também pode permitir que os atacantes contornem medidas de segurança e executem escritas arbitrárias no sistema de arquivos.
O motor de busca Fofa rastreia mais de 145.000 servidores ColdFusion expostos à internet, embora seja impossível apontar exatamente quais possuem painéis administrativos acessíveis remotamente.
A CISA adicionou ambas as vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, etiquetando-as como ativamente exploradas.
Conforme mandado pela Diretiva Operacional Vinculativa (BOD) 22-01, as agências federais devem proteger suas redes dentro de três semanas até 6 de janeiro.
"Esse tipo de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para o empreendimento federal," disse a agência de cibersegurança.
Embora o catálogo KEV da CISA alerte principalmente as agências federais sobre bugs de segurança que devem ser corrigidos o mais rápido possível, organizações privadas também são aconselhadas a priorizar a mitigação dessas vulnerabilidades para bloquear ataques em andamento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...