CISA a averti les agences fédérales américaines de sécuriser leurs systèmes contre les attaques en cours ciblant une vulnérabilité de noyau Windows de haute gravité.
Identifiée comme CVE-2024-35250, cette faille de sécurité est due à une faiblesse de déréférencement de pointeur non fiable qui permet aux attaquants locaux d’obtenir des privilèges SYSTÈME lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Bien que Microsoft n’ait pas partagé plus de détails dans un avis de sécurité publié en juin, l’équipe de recherche DEVCORE qui a découvert la faille et l’a signalée à Microsoft via l’initiative Zero Day de Trend Micro indique que le composant système vulnérable est le Service de streaming du noyau Microsoft (MSKSSRV.Système).
Les chercheurs en sécurité de DEVCORE ont utilisé cette faille de sécurité d’escalade de privilèges MSKSSRV pour compromettre un système Windows 11 entièrement corrigé le premier jour du concours de piratage Pwn2Own Vancouver 2024 de cette année.
Redmond a corrigé le bogue lors du Patch Tuesday de juin 2024, avec un code d’exploit de validation de principe publié sur GitHub quatre mois plus tard.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTÈME », indique la société dans un avis de sécurité qui n’a pas encore été mis à jour pour indiquer que la vulnérabilité est activement exploitée.
DEVCORE a publié la démo vidéo suivante de leur exploit de validation de principe CVE-2024-35250 utilisé pour pirater un appareil Windows 11 23H2.
Aujourd’hui, CISA a également ajouté une vulnérabilité critique Adobe ColdFusion (suivie de CVE-2024-20767), qu’Adobe a corrigée en mars. Depuis lors, plusieurs exploits de preuve de concept ont été publiés en ligne.
CVE-2024-20767 est dû à une faiblesse de contrôle d’accès incorrecte qui permet à des attaquants distants non authentifiés de lire le système et d’autres fichiers sensibles. Selon SecureLayer7, l’exploitation réussie des serveurs ColdFusion avec le panneau d’administration exposé en ligne peut également permettre aux attaquants de contourner les mesures de sécurité et d’effectuer des écritures arbitraires sur le système de fichiers.
Le moteur de recherche Fofa suit plus de 145 000 serveurs ColdFusion exposés à Internet, bien qu’il soit impossible d’identifier les serveurs exacts avec des panneaux d’administration accessibles à distance.
CISA a ajouté les deux vulnérabilités à son catalogue de vulnérabilités exploitées connues, les marquant comme activement exploitées. Conformément à la Directive opérationnelle contraignante (BOD) 22-01, les agences fédérales doivent sécuriser leurs réseaux dans un délai de trois semaines d’ici le 6 janvier.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré l’agence de cybersécurité.
Alors que le catalogue KEV de CISA alerte principalement les agences fédérales sur les bogues de sécurité qui devraient être corrigés dès que possible, il est également conseillé aux organisations privées de donner la priorité à l’atténuation de ces vulnérabilités pour bloquer les attaques en cours.
Un porte-parole de Microsoft n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée pour plus de détails concernant l’exploitation sauvage de CVE-2024-35250.