最新的Windows内核漏洞，可获system权限

网络安全和基础设施安全局（CISA）已将两个新的漏洞添加到其已知被利用漏洞目录中，其中一个是涉及 Windows 内核的漏洞，目前正被用于攻击。

该漏洞编号为CVE-2024-35250，具体是在 Windows 的 ks.sys 驱动中存在的 "不受信任的指针解引用" 。这个漏洞可以通过利用未受信任的指针，来进行任意内存读写，最终实现权限提升。这种问题可能导致系统崩溃或使攻击者能够执行任意代码，对安全专业人员来说是一个重要关注点。

微软已在最近的12月星期二补丁中修复了该漏洞 ，并表示“成功利用这一漏洞的攻击者可能获得 system权限。”该公司在6月发布的安全公告中仅提供了有限的细节，不过发现该漏洞的 DEVCORE 研究团队通过趋势科技的零日计划（Zero Day Initiative）将其报告给微软，并确定受影响的系统组件为 Microsoft Kernel Streaming Service (MSKSSRV.SYS)。

影响版本：

• Windows 10 20H2 Build 19042  

• Windows 11 22H2 Build 22621  

• VMWare Workstation 17 Pro 环境下也可被利用

漏洞细节：

攻击者可以通过发送特制的 IOCTL 请求触发 ks.sys 驱动中的漏洞，利用不可信指针的解引用，最终对系统内存进行任意读写操作。

限制条件： 

• 实测该漏洞无法在 Hyper-V 环境中成功利用；

• 攻击者需要拥有中等权限（Medium Integrity Level，通常为普通用户权限），才能触发漏洞进行提权。    

当前大部分 XDR（扩展检测和响应）解决方案能够检测并阻止该漏洞的利用行为。

另外一个漏洞编号是CVE-2024-20767：此漏洞影响 Adobe ColdFusion，涉及不当的访问控制。攻击者可以利用此类漏洞来获取敏感信息或系统的未经授权访问，对网络安全构成重大威胁。对此，CISA 的操作指令（BOD）22-01，题为“减少已知被利用漏洞的重大风险”，要求联邦政府行政部门（FCEB）机构在指定的截止日期前修补这些漏洞，并表示“此类漏洞是一种常见的攻击途径，对联邦企业构成重大风险。”

虽然 BOD 22-01 明确针对 FCEB 机构，但CISA 依旧强烈建议所有组织采取积极措施，以减少其网络攻击的暴露面。

参考来源：https://cybersecuritynews.com/windows-kernal-vulnerability-actively-exploits-in-attacks/