Windows 内核漏洞现被利用来获取系统权限

CISA 已警告美国联邦机构，要求其系统防范针对高严重性 Windows 内核漏洞的持续攻击。

该安全漏洞被标记为 CVE-2024-35250，是由于不受信任的指针取消引用弱点造成的，该弱点允许本地攻击者在不需要用户交互的低复杂度攻击中获得 SYSTEM 权限。

虽然微软在 6 月份发布的安全公告中没有分享更多细节，但发现该漏洞并通过趋势科技的零日计划向微软报告的 DEVCORE 研究团队表示，易受攻击的系统组件是 Microsoft Kernel Streaming Service (MSKSSRV.SYS)。

DEVCORE 安全研究人员在今年Pwn2Own Vancouver 2024 黑客大赛的第一天利用此 MSKSSRV 权限提升安全漏洞入侵了已全面修补的 Windows 11 系统。

雷德蒙德在2024 年 6 月的补丁星期二修补了该漏洞，并于四个月后在 GitHub 上发布了概念验证漏洞代码。

该公司在尚未更新的安全公告中表示：“成功利用此漏洞的攻击者可以获得系统权限”，这表明该漏洞正在被积极利用。

DEVCORE 发布了以下视频演示，展示了其 CVE-2024-35250 概念验证漏洞如何用于破解 Windows 11 23H2 设备。

今天，CISA 还添加了一个严重的 Adobe ColdFusion 漏洞（跟踪为CVE-2024-20767），Adobe 已于 3 月修补了该漏洞。从那时起，网上已经发布了几个概念验证漏洞。

CVE-2024-20767 是由于访问控制不当导致的漏洞，允许未经身份验证的远程攻击者读取系统和其他敏感文件。根据SecureLayer7的说法，成功利用在线暴露管理面板的 ColdFusion 服务器还可以让攻击者绕过安全措施并执行任意文件系统写入。

Fofa 搜索引擎追踪了 超过 145,000 台暴露在互联网上的 ColdFusion 服务器，但无法通过远程访问的管理面板精确地定位到具体的服务器。

CISA将这两个漏洞添加到其已知被利用漏洞目录中，并将其标记为被积极利用。根据《约束性操作指令》 (BOD) 22-01 的规定，联邦机构必须在 1 月 6 日之前的三周内保护其网络。

网络安全机构表示：“这些类型的漏洞是恶意网络行为者频繁攻击的媒介，对联邦企业构成重大风险。”

虽然 CISA 的 KEV 目录主要向联邦机构发出应尽快修补的安全漏洞警报，但也建议私人组织优先缓解这些漏洞以阻止正在进行的攻击。

今天早些时候，BleepingComputer 联系微软发言人询问有关 CVE-2024-35250 野外利用的更多详细信息，但微软发言人并未立即发表评论。