CISA, ABD federal kurumlarını, sistemlerini yüksek önemdeki bir Windows çekirdeği güvenlik açığını hedef alan devam eden saldırılara karşı korumaları konusunda uyardı.
CVE-2024-35250 olarak izlenen bu güvenlik açığı, yerel saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda SİSTEM ayrıcalıkları kazanmasına olanak tanıyan, güvenilmeyen bir işaretçi referansı zayıflığından kaynaklanmaktadır.
Microsoft, Haziran ayında yayınlanan bir güvenlik danışma belgesinde daha fazla ayrıntı paylaşmasa da, kusuru bulan ve bunu Trend Micro’nun Sıfır Gün Girişimi aracılığıyla Microsoft’a bildiren DEVCORE Araştırma Ekibi, güvenlik açığı bulunan sistem bileşeninin Microsoft Çekirdek Akış Hizmeti (MSKSSRV.SYS) olduğunu söylüyor ).
DEVCORE güvenlik araştırmacıları, bu yılki Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışmasının ilk gününde tamamen yamalı bir Windows 11 sistemini tehlikeye atmak için bu MSKSSRV ayrıcalık yükseltme güvenlik kusurunu kullandı.
Redmond, hatayı Haziran 2024 Yaması Salı günü yamaladı ve dört ay sonra GitHub’da kavram kanıtlama yararlanma kodunu yayınladı.
Şirket, bu güvenlik açığından başarıyla yararlanan bir saldırganın SİSTEM ayrıcalıkları elde edebileceğini belirterek, güvenlik açığının aktif olarak istismar edildiğini belirtmek üzere henüz güncellenmemiş bir güvenlik tavsiye belgesinde yer alıyor.
DEVCORE, bir Windows 11 23H2 cihazını hacklemek için kullanılan CVE-2024-35250 kavram kanıtlama istismarının aşağıdaki video demosunu yayınladı.
Bugün CISA, Adobe’nin Mart ayında yamaladığı kritik bir Adobe ColdFusion güvenlik açığını da (CVE-2024-20767 olarak takip edilir) ekledi. O zamandan bu yana, birçok kavram kanıtlama istismarı çevrimiçi olarak yayınlandı.
CVE-2024-20767, kimliği doğrulanmamış uzaktaki saldırganların sistemi ve diğer hassas dosyaları okumasına olanak tanıyan hatalı erişim kontrolü zayıflığından kaynaklanmaktadır. SecureLayer7’ye göre, yönetici paneli çevrimiçi olarak açıkken ColdFusion sunucularından başarıyla yararlanmak, saldırganların güvenlik önlemlerini atlamasına ve rastgele dosya sistemi yazma işlemleri gerçekleştirmesine de olanak tanıyabilir.
Fofa arama motoru, İnternet’e açık 145.000’den fazla ColdFusion sunucusunu takip ediyor, ancak uzaktan erişilebilen yönetici panelleriyle bunların tam olarak belirlenmesi imkansız.
CISA, her iki güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekledi ve bunları aktif olarak yararlanılan olarak etiketledi. Bağlayıcı Operasyonel Direktif (BOD) 22-01’in zorunlu kıldığı üzere, federal kurumların 6 Ocak’a kadar üç hafta içinde ağlarının güvenliğini sağlaması gerekiyor.
Siber güvenlik kurumu, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.
CISA’nın KEV kataloğu öncelikle federal kurumları mümkün olan en kısa sürede düzeltilmesi gereken güvenlik hataları konusunda uyarırken, özel kuruluşlara da devam eden saldırıları engellemek için bu güvenlik açıklarını azaltmaya öncelik vermeleri tavsiye ediliyor.