網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將兩個(gè)新的漏洞添加到其已知被利用漏洞目錄中，其中一個(gè)是涉及 Windows 內(nèi)核的漏洞，目前正被用于攻擊。

該漏洞編號(hào)為CVE-2024-35250，具體是在 Windows 的 ks.sys 驅(qū)動(dòng)中存在的 "不受信任的指針解引用" 。這個(gè)漏洞可以通過(guò)利用未受信任的指針，來(lái)進(jìn)行任意內(nèi)存讀寫(xiě)，最終實(shí)現(xiàn)權(quán)限提升。這種問(wèn)題可能導(dǎo)致系統(tǒng)崩潰或使攻擊者能夠執(zhí)行任意代碼，對(duì)安全專(zhuān)業(yè)人員來(lái)說(shuō)是一個(gè)重要關(guān)注點(diǎn)。

微軟已在最近的12月星期二補(bǔ)丁中修復(fù)了該漏洞 ，并表示“成功利用這一漏洞的攻擊者可能獲得 system權(quán)限。”該公司在6月發(fā)布的安全公告中僅提供了有限的細(xì)節(jié)，不過(guò)發(fā)現(xiàn)該漏洞的 DEVCORE 研究團(tuán)隊(duì)通過(guò)趨勢(shì)科技的零日計(jì)劃（Zero Day Initiative）將其報(bào)告給微軟，并確定受影響的系統(tǒng)組件為 Microsoft Kernel Streaming Service (MSKSSRV.SYS)。

影響版本：

• Windows 10 20H2 Build 19042  
• Windows 11 22H2 Build 22621  
• VMWare Workstation 17 Pro 環(huán)境下也可被利用

漏洞細(xì)節(jié)：

攻擊者可以通過(guò)發(fā)送特制的 IOCTL 請(qǐng)求觸發(fā) ks.sys 驅(qū)動(dòng)中的漏洞，利用不可信指針的解引用，最終對(duì)系統(tǒng)內(nèi)存進(jìn)行任意讀寫(xiě)操作。

限制條件：  

• 實(shí)測(cè)該漏洞無(wú)法在 Hyper-V 環(huán)境中成功利用；
• 攻擊者需要擁有中等權(quán)限（Medium Integrity Level，通常為普通用戶(hù)權(quán)限），才能觸發(fā)漏洞進(jìn)行提權(quán)。    

當(dāng)前大部分 XDR（擴(kuò)展檢測(cè)和響應(yīng)）解決方案能夠檢測(cè)并阻止該漏洞的利用行為。

另外一個(gè)漏洞編號(hào)是CVE-2024-20767：此漏洞影響 Adobe ColdFusion，涉及不當(dāng)?shù)脑L問(wèn)控制。攻擊者可以利用此類(lèi)漏洞來(lái)獲取敏感信息或系統(tǒng)的未經(jīng)授權(quán)訪問(wèn)，對(duì)網(wǎng)絡(luò)安全構(gòu)成重大威脅。對(duì)此，CISA 的操作指令（BOD）22-01，題為“減少已知被利用漏洞的重大風(fēng)險(xiǎn)”，要求聯(lián)邦政府行政部門(mén)（FCEB）機(jī)構(gòu)在指定的截止日期前修補(bǔ)這些漏洞，并表示“此類(lèi)漏洞是一種常見(jiàn)的攻擊途徑，對(duì)聯(lián)邦企業(yè)構(gòu)成重大風(fēng)險(xiǎn)。”

雖然 BOD 22-01 明確針對(duì) FCEB 機(jī)構(gòu)，但CISA 依舊強(qiáng)烈建議所有組織采取積極措施，以減少其網(wǎng)絡(luò)攻擊的暴露面。

參考來(lái)源：https://cybersecuritynews.com/windows-kernal-vulnerability-actively-exploits-in-attacks/