網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將兩個新的漏洞添加到其已知被利用漏洞目錄中，其中一個是涉及 Windows 內(nèi)核的漏洞，目前正被用于攻擊。

該漏洞編號為CVE-2024-35250，具體是在 Windows 的 ks.sys 驅(qū)動中存在的 "不受信任的指針解引用" 。這個漏洞可以通過利用未受信任的指針，來進(jìn)行任意內(nèi)存讀寫，最終實(shí)現(xiàn)權(quán)限提升。這種問題可能導(dǎo)致系統(tǒng)崩潰或使攻擊者能夠執(zhí)行任意代碼，對安全專業(yè)人員來說是一個重要關(guān)注點(diǎn)。

微軟已在最近的12月星期二補(bǔ)丁中修復(fù)了該漏洞 ，并表示“成功利用這一漏洞的攻擊者可能獲得 system權(quán)限?！痹摴驹?月發(fā)布的安全公告中僅提供了有限的細(xì)節(jié)，不過發(fā)現(xiàn)該漏洞的 DEVCORE 研究團(tuán)隊(duì)通過趨勢科技的零日計(jì)劃（Zero Day Initiative）將其報(bào)告給微軟，并確定受影響的系統(tǒng)組件為 Microsoft Kernel Streaming Service (MSKSSRV.SYS)。

影響版本：

• Windows 10 20H2 Build 19042  
• Windows 11 22H2 Build 22621  
• VMWare Workstation 17 Pro 環(huán)境下也可被利用

漏洞細(xì)節(jié)：

攻擊者可以通過發(fā)送特制的 IOCTL 請求觸發(fā) ks.sys 驅(qū)動中的漏洞，利用不可信指針的解引用，最終對系統(tǒng)內(nèi)存進(jìn)行任意讀寫操作。

限制條件：  

• 實(shí)測該漏洞無法在 Hyper-V 環(huán)境中成功利用；
• 攻擊者需要擁有中等權(quán)限（Medium Integrity Level，通常為普通用戶權(quán)限），才能觸發(fā)漏洞進(jìn)行提權(quán)。    

當(dāng)前大部分 XDR（擴(kuò)展檢測和響應(yīng)）解決方案能夠檢測并阻止該漏洞的利用行為。

另外一個漏洞編號是CVE-2024-20767：此漏洞影響 Adobe ColdFusion，涉及不當(dāng)?shù)脑L問控制。攻擊者可以利用此類漏洞來獲取敏感信息或系統(tǒng)的未經(jīng)授權(quán)訪問，對網(wǎng)絡(luò)安全構(gòu)成重大威脅。對此，CISA 的操作指令（BOD）22-01，題為“減少已知被利用漏洞的重大風(fēng)險”，要求聯(lián)邦政府行政部門（FCEB）機(jī)構(gòu)在指定的截止日期前修補(bǔ)這些漏洞，并表示“此類漏洞是一種常見的攻擊途徑，對聯(lián)邦企業(yè)構(gòu)成重大風(fēng)險?！?/p>

雖然 BOD 22-01 明確針對 FCEB 機(jī)構(gòu)，但CISA 依舊強(qiáng)烈建議所有組織采取積極措施，以減少其網(wǎng)絡(luò)攻擊的暴露面。

參考來源：https://cybersecuritynews.com/windows-kernal-vulnerability-actively-exploits-in-attacks/