چندی پیش آسیب پذیری CVE-2024-35250 در کرنل ویندوز شناسایی شد و مایکروسافت در Patch Tuesday ماه ژوئن ۲۰۲۴ خود به آن پرداخت. اکنون پس از گذشت چند ماه، خبرها حاکی از آن است که این آسیب پذیری تحت سوء استفاده فعال قرار گرفته است.
این آسیب پذیری ناشی از یک مشکل عدم ارجاع پوینتر نامعتبر در سرویس استریم کرنل مایکروسافت (MSKSSRV.SYS) است که به مهاجمان لوکال اجازه میدهد در حملاتی با پیچیدگی کم که نیازی به تعامل با کاربر ندارند، سطح دسترسی خود را به سطح سیستمی (SYSTEM) ارتقا دهند.
در واقع، این آسیب پذیری بحرانی در کرنل ویندوز میتواند توسط مهاجمان با دسترسی لوکال برای اجرای کد مخرب و به دست آوردن کنترل کامل سیستم آسیب پذیر، مورد سوء استفاده قرار گیرد. CVE-2024-35250 اولین بار توسط تیم تحقیقاتی DEVCORE از طریق ZDI گزارش شد.
محققان امنیتی DEVCORE از این آسیب پذیری افزایش سطح دسترسی MSKSSRV برای نفوذ به سیستم عامل ویندوز 11 کاملاً اصلاح شده در اولین روز مسابقه هک Pwn2Own ونکوور 2024 امسال استفاده کردند. کد PoC این آسیب پذیری چهار ماه بعد در GitHub منتشر گردید.
DEVCORE همچنین یک دموی ویدئویی از اکسپلویت CVE-2024-35250منتشر کرده است که برای هک یک دستگاه ویندوز 11 23H2 استفاده میشود.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشدارهایی را به آژانسهای فدرال صادر کرده و از آنها خواسته است تا سیستمهای خود را در برابر حملات مداوم با استفاده از این آسیب پذیری ایمن کنند. CISA نیز آن را به لیست کاتالوگ آسیب پذیریهای شناخته شده خود اضافه کرده است. از این رو، سازمانها موظفند تا 6 ژانویه 2025 به روز رسانیهای لازم را اعمال کنند.
آسیب پذیری Adobe ColdFusion
CISA علاوه بر هشدار در خصوص آسیب پذیری کرنل ویندوز، در مورد یک آسیب پذیری مهم در Adobe ColdFusion (با شناسه CVE-2024-20767 ) هشدار داده است. این آسیب پذیری ناشی از کنترل دسترسی ضعیف است که به مهاجمان احراز هویت نشده و از راه دور، اجازه دسترسی به سیستمها و خواندن فایلهای حساس را میدهد.
Adobe این آسیب پذیری را در ماه مارس اصلاح کرده است اما از آن زمان تا کنون، چندین اکسپلویت PoC برای آن منتشر شده است.
طبق گفته SecureLayer7، اکسپلویت موفق سرورهای ColdFusion همراه با دسترسی آنلاین به پنل مدیریت آن میتواند به مهاجمان اجازه دهد تا مکانیزمهای امنیتی را دور بزنند و به نوشتن فایلهای دلخواه بپردازند.
موتور جستجوی Fofa بیش از 145000 سرور ColdFusion قابل دسترس از طریق اینترنت را شناسایی کرده است. CISA، این آسیبپذیری را نیز به لیست کاتالوگ آسیب پذیریهای شناخته شده خود افزوده است. طبق دستورالعمل اجرایی الزام آور (BOD) 22-01، آژانسهای فدرال بایستی شبکههای خود را ظرف سه هفته آینده ایمن نمایند.
توصیه میشود کاربران و سازمانها هرچه سریعتر نسبت به دریافت و نصب بهروزرسانیهای امنیتی مربوطه در خصوص هر دو آسیب پذیری اقدام کنند تا از خطرات احتمالی جلوگیری شود.
