Die CISA hat die US-Bundesbehörden gewarnt, ihre Systeme gegen laufende Angriffe auf eine hochgefährliche Windows-Kernel-Schwachstelle zu sichern.
Verfolgt als CVE-2024-35250, ist diese Sicherheitslücke aufgrund einer nicht vertrauenswürdigen Zeiger-Dereferenz Schwachstelle, die lokale Angreifer zu gewinnen SYSTEM Privilegien in Low-Komplexität Angriffe, die keine Benutzer-Interaktion erfordern können.
Während Microsoft in einem im Juni veröffentlichten Sicherheitshinweis keine weiteren Details bekannt gab, sagt das DEVCORE-Forschungsteam, das die Schwachstelle gefunden und über die Zero-Day-Initiative von Trend Micro an Microsoft gemeldet hat, dass die anfällige Systemkomponente der Microsoft Kernel Streaming Service (MSKSSRV.SYS) ist.
DEVCORE-Sicherheitsforscher nutzten diese MSKSSRV-Sicherheitslücke zur Privilegienerweiterung, um am ersten Tag des diesjährigen Pwn2Own Vancouver 2024-Hacking-Wettbewerbs ein vollständig gepatchtes Windows 11-System zu kompromittieren.
Redmond hat den Fehler während des Patch Tuesday im Juni 2024 gepatcht und den Proof-of-Concept-Exploit-Code vier Monate später auf GitHub veröffentlicht.
"Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen", heißt es in einem Sicherheitshinweis des Unternehmens, der noch nicht aktualisiert wurde, um anzuzeigen, dass die Schwachstelle aktiv ausgenutzt wird.
DEVCORE veröffentlichte die folgende Video-Demo ihres CVE-2024-35250 Proof-of-Concept-Exploits, der zum Hacken eines Windows 11 23H2-Geräts verwendet wird.
Heute fügte die CISA auch eine kritische Sicherheitslücke in Adobe ColdFusion (CVE-2024-20767) hinzu, die Adobe im März gepatcht hat. Seitdem wurden mehrere Proof-of-Concept-Exploits online veröffentlicht.
CVE-2024-20767 ist auf eine Schwachstelle in der Zugriffskontrolle zurückzuführen, die es nicht authentifizierten, entfernten Angreifern ermöglicht, das System und andere sensible Dateien zu lesen. Laut SecureLayer7 können Angreifer bei erfolgreicher Ausnutzung von ColdFusion-Servern, bei denen das Admin-Bedienfeld online zugänglich ist, auch Sicherheitsmaßnahmen umgehen und beliebige Schreibvorgänge im Dateisystem durchführen.
Die Fofa-Suchmaschine verfolgt mehr als 145.000 ColdFusion-Server, die dem Internet ausgesetzt sind, obwohl es unmöglich ist, die genauen Server mit aus der Ferne zugänglichen Admin-Panels zu ermitteln.
Die CISA hat beide Schwachstellen in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und sie als aktiv ausgenutzt gekennzeichnet. Wie in der Binding Operational Directive (BOD) 22-01 vorgeschrieben, müssen Bundesbehörden ihre Netzwerke innerhalb von drei Wochen bis zum 6. Januar sichern.
"Diese Art von Schwachstellen sind häufige Angriffsvektoren für böswillige Cyber-Akteure und stellen ein erhebliches Risiko für das Bundesunternehmen dar", so die Cybersicherheitsbehörde.
Während der KEV-Katalog der CISA in erster Linie Bundesbehörden vor Sicherheitslücken warnt, die so schnell wie möglich gepatcht werden sollten, wird auch privaten Organisationen geraten, der Behebung dieser Schwachstellen Priorität einzuräumen, um laufende Angriffe abzuwehren.
Ein Microsoft-Sprecher war nicht sofort für einen Kommentar verfügbar, als er heute von BleepingComputer kontaktiert wurde, um mehr Details über CVE-2024-35250 in der wilden Ausnutzung zu erfahren.
