CISA ha advertido a las agencias federales de Estados Unidos que protejan sus sistemas contra los ataques en curso dirigidos a una vulnerabilidad de alta gravedad del kernel de Windows.
Registrada como CVE-2024-35250, esta falla de seguridad se debe a una debilidad de desreferencia de puntero no confiable que permite a los atacantes locales obtener privilegios de SISTEMA en ataques de baja complejidad que no requieren interacción del usuario.
Si bien Microsoft no compartió más detalles en un aviso de seguridad publicado en junio, el equipo de investigación de DEVCORE que encontró la falla y la informó a Microsoft a través de la Iniciativa Zero Day de Trend Micro dice que el componente del sistema vulnerable es Microsoft Kernel Streaming Service (MSKSSRV.SYS).
Los investigadores de seguridad de DEVCORE utilizaron esta falla de seguridad de escalada de privilegios MSKSSRV para comprometer un sistema Windows 11 completamente parcheado en el primer día del concurso de piratería Pwn2Own Vancouver 2024 de este año .
Redmond corrigió el error durante el martes de parches de junio de 2024 , y el código de explotación de prueba de concepto se publicó en GitHub cuatro meses después.
«Un atacante que aproveche con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA», afirma la compañía en un aviso de seguridad que aún no se ha actualizado para indicar que la vulnerabilidad está bajo explotación activa.
DEVCORE publicó la siguiente demostración en video de su exploit de prueba de concepto CVE-2024-35250 que se utiliza para hackear un dispositivo Windows 11 23H2.
CISA también agregó una vulnerabilidad crítica de Adobe ColdFusion (identificada como CVE-2024-20767 ), que Adobe parchó en marzo. Desde entonces, se han publicado en línea varias pruebas de concepto de vulnerabilidades.
CVE-2024-20767 se debe a una debilidad de control de acceso inadecuada que permite a atacantes remotos no autenticados leer el sistema y otros archivos confidenciales. Según SecureLayer7 , explotar con éxito los servidores ColdFusion con el panel de administración expuesto en línea también puede permitir a los atacantes eludir las medidas de seguridad y realizar escrituras arbitrarias en el sistema de archivos.
El motor de búsqueda Fofa rastrea más de 145.000 servidores ColdFusion expuestos a Internet , aunque es imposible identificar exactamente aquellos con paneles de administración accesibles de forma remota.
La CISA agregó ambas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas y las etiquetó como explotadas activamente. Tal como lo exige la Directiva operativa vinculante (BOD) 22-01, las agencias federales deben proteger sus redes en un plazo de tres semanas antes del 6 de enero.
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo la agencia de ciberseguridad.
Si bien el catálogo KEV de CISA alerta principalmente a las agencias federales sobre errores de seguridad que deben solucionarse lo antes posible, también se recomienda a las organizaciones privadas que prioricen la mitigación de estas vulnerabilidades para bloquear ataques en curso.
Un portavoz de Microsoft no estaba inmediatamente disponible para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy para obtener más detalles sobre la explotación CVE-2024-35250 en la red.
Fuente y redacción: bleepingcomputer.com
