Error del kernel de Windows usado en ataques para obtener privilegios de SYSTEM

Iniciado por AXCESS, Diciembre 18, 2024, 01:20:46 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 18, 2024, 01:20:46 AM Ultima modificación: Diciembre 18, 2024, 01:24:28 AM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La CISA ha advertido a las agencias federales de Estados Unidos que protejan sus sistemas contra los ataques en curso dirigidos a una vulnerabilidad de alta gravedad del kernel de Windows.

Identificada como CVE-2024-35250, esta falla de seguridad se debe a una debilidad de desreferencia de puntero no confiable que permite a los atacantes locales obtener privilegios de SYSTEM en ataques de baja complejidad que no requieren la interacción del usuario.

Si bien Microsoft no compartió más detalles en un aviso de seguridad publicado en junio, el equipo de investigación de DEVCORE que encontró la falla y la informó a Microsoft a través de la Iniciativa Zero Day de Trend Micro dice que el componente del sistema vulnerable es el Servicio de transmisión de kernel de Microsoft (MSKSSRV.SYS).

Los investigadores de seguridad de DEVCORE utilizaron esta falla de seguridad de escalada de privilegios MSKSSRV para comprometer un sistema Windows 11 completamente parcheado el primer día del concurso de piratería Pwn2Own Vancouver 2024 de este año.

Redmond corrigió el error durante el Patch Tuesday de junio de 2024, y el código de explotación de prueba de concepto se publicó en GitHub cuatro meses después.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM", dice la empresa en un aviso de seguridad que aún no se ha actualizado para indicar que la vulnerabilidad está bajo explotación activa.

DEVCORE publicó la siguiente demostración en video de su explotación de prueba de concepto CVE-2024-35250 que se utiliza para piratear un dispositivo Windows 11 23H2.


CISA también agregó una vulnerabilidad crítica de Adobe ColdFusion (identificada como CVE-2024-20767), que Adobe parchó en marzo. Desde entonces, se han publicado en línea varias vulnerabilidades de prueba de concepto.

CVE-2024-20767 se debe a una debilidad de control de acceso inapropiada que permite a atacantes remotos no autenticados leer el sistema y otros archivos confidenciales. Según SecureLayer7, explotar con éxito los servidores ColdFusion con el panel de administración expuesto en línea también puede permitir a los atacantes eludir las medidas de seguridad y realizar escrituras arbitrarias en el sistema de archivos.

El motor de búsqueda Fofa rastrea más de 145.000 servidores ColdFusion expuestos a Internet, aunque es imposible identificar exactamente los que tienen paneles de administración accesibles de forma remota.

CISA agregó ambas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, etiquetándolas como explotadas activamente. Según lo dispuesto por la Directiva Operacional Vinculante (BOD) 22-01, las agencias federales deben asegurar sus redes en un plazo de tres semanas antes del 6 de enero.

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para las empresas federales", afirmó la agencia de ciberseguridad.

Si bien el catálogo KEV de CISA alerta principalmente a las agencias federales sobre errores de seguridad que deben solucionarse lo antes posible, también se recomienda a las organizaciones privadas que prioricen la mitigación de estas vulnerabilidades para bloquear los ataques en curso.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario