آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به نهادهای فدرال آمریکا هشدار داده است که سیستمهای خود را در برابر حملات فعالی که یک آسیبپذیری شدید در هسته ویندوز را هدف قرار میدهند، امن کنند.
این نقص امنیتی که با شناسه CVE-2024-35250 ردیابی شده است، به دلیل ضعف در ارجاع به یک اشارهگر غیرقابل اعتماد رخ میدهد و به مهاجمان محلی اجازه میدهد تا در حملاتی با پیچیدگی پایین و بدون نیاز به تعامل کاربر، امتیازات SYSTEM را به دست آورند.
اگرچه مایکروسافت جزئیات بیشتری را در مشاوره امنیتی منتشرشده در ماه ژوئن به اشتراک نگذاشته است، تیم تحقیقاتی DEVCORE که این نقص را کشف کرده و از طریق ابتکار Zero Day شرکت Trend Micro به مایکروسافت گزارش داده، اعلام کرده است که مؤلفه آسیبپذیر در سیستم، سرویس استریمینگ هسته مایکروسافت (Microsoft Kernel Streaming Service – MSKSSRV.SYS) است.
پژوهشگران امنیتی DEVCORE از این نقص امنیتی ارتقاء امتیاز در سرویس MSKSSRV برای نفوذ به یک سیستم ویندوز ۱۱ کاملاً بهروزرسانیشده در روز اول مسابقه هک Pwn2Own Vancouver 2024 امسال استفاده کردند.
مایکروسافت این باگ را در بهروزرسانی سهشنبه امنیتی ماه ژوئن ۲۰۲۴ برطرف کرد، درحالیکه کد اکسپلویت اثبات مفهوم (Proof-of-Concept) چهار ماه بعد در گیتهاب منتشر شد.
شرکت مایکروسافت در مشاوره امنیتی خود اعلام کرده است:
“یک مهاجم که با موفقیت از این آسیبپذیری سوءاستفاده کند، میتواند به امتیازات SYSTEM دست پیدا کند.”
این مشاوره امنیتی هنوز بهروزرسانی نشده است تا نشان دهد این آسیبپذیری تحت سوءاستفاده فعال قرار دارد.
پژوهشگران DEVCORE ویدیوی نمایشی زیر را از اکسپلویت اثبات مفهوم CVE-2024-35250 که برای هک یک دستگاه ویندوز ۱۱ نسخه ۲۳H2 استفاده میشود، منتشر کردند.
امروز، CISA یک آسیبپذیری بحرانی دیگر در Adobe ColdFusion (با شناسه CVE-2024-20767) را نیز به فهرست اضافه کرد؛ این آسیبپذیری توسط Adobe در ماه مارس رفع شده بود. از آن زمان تاکنون، چندین کد اثبات مفهوم (Proof-of-Concept) برای این آسیبپذیری بهصورت آنلاین منتشر شده است.
CVE-2024-20767 به دلیل ضعف در کنترل دسترسی نادرست به وجود میآید که به مهاجمان از راه دور و بدون احراز هویت اجازه میدهد به فایلهای حساس سیستم و سایر فایلها دسترسی داشته باشند. طبق اعلام SecureLayer7، در صورت بهرهبرداری موفق از سرورهای ColdFusion که پنل مدیریت آنها بهصورت عمومی در اینترنت قرار دارد، مهاجمان میتوانند با عبور از تدابیر امنیتی اقدام به نوشتن فایلهای دلخواه در سیستم کنند.
موتور جستجوی Fofa بیش از ۱۴۵,۰۰۰ سرور ColdFusion متصل به اینترنت را ردیابی میکند، هرچند مشخص کردن دقیق سرورهایی که پنل مدیریت آنها بهصورت از راه دور در دسترس است، امکانپذیر نیست.
CISA هر دو آسیبپذیری را به فهرست آسیبپذیریهای مورد سوءاستفاده شناختهشده خود اضافه کرده و آنها را بهعنوان تحت سوءاستفاده فعال برچسبگذاری کرده است. طبق دستورالعمل عملیاتی الزامآور (BOD 22-01)، سازمانهای فدرال موظفند تا تاریخ ۶ ژانویه و ظرف مدت سه هفته شبکههای خود را ایمن کنند.
آژانس امنیت سایبری اعلام کرد:
“این نوع آسیبپذیریها مسیرهای حمله مکرری برای مهاجمان سایبری مخرب هستند و ریسکهای قابلتوجهی برای سازمانهای فدرال ایجاد میکنند.”
هرچند فهرست KEV متعلق به CISA در درجه اول به سازمانهای فدرال در مورد باگهای امنیتی که باید در اسرع وقت برطرف شوند هشدار میدهد، به سازمانهای خصوصی نیز توصیه میشود تا اولویت اقدامات کاهشی (mitigation) را برای این آسیبپذیریها در نظر بگیرند تا حملات فعلی را مسدود کنند.
