Windows

CISA は米国連邦政府機関に対し、Windows カーネルに存在する深刻度の高い脆弱性を狙った攻撃からシステムを保護するよう警告した。

CVE-2024-35250として追跡されているこのセキュリティ上の欠陥は、信頼されていないポインタ参照解除の弱点によるもので、ユーザーによる操作を必要としない低複雑度の攻撃で、ローカル攻撃者がSYSTEM権限を獲得することを可能にする。

マイクロソフトは6月に発表したセキュリティアドバイザリで詳細を明らかにしていないが、この欠陥を発見し、トレンドマイクロのZero Day Initiativeを通じてマイクロソフトに報告したDEVCOREリサーチチームによると、脆弱なシステムコンポーネントはMicrosoft Kernel Streaming Service(MSKSSRV.SYS)だという。

DEVCOREのセキュリティ研究者は、今年のPwn2Own Vancouver 2024ハッキング・コンテストの初日に、このMSKSSRVの特権昇格のセキュリティ欠陥を利用して、完全にパッチが適用されたWindows 11システムを侵害した。

Redmond社は2024年6月のパッチ・チューズデーでこのバグにパッチを当て、その4ヵ月後にGitHubで概念実証のエクスプロイト・コードが公開された。

「この脆弱性の悪用に成功した攻撃者は、SYSTEM権限を得る可能性がある」と、同社はセキュリティ勧告で述べている。

DEVCOREは、CVE-2024-35250を悪用してWindows 11 23H2デバイスをハッキングするデモ動画を公開している。

本日、CISA は、Adobe ColdFusion の重大な脆弱性(CVE-2024-20767 として追跡されている)も追加しました。それ以来、いくつかの概念実証のエクスプロイトがオンラインで公開されている。

CVE-2024-20767は、不適切なアクセス制御の弱さによるもので、認証されていないリモートの攻撃者がシステムやその他の機密ファイルを読み取ることを可能にします。SecureLayer7によると、管理パネルがオンラインで公開されているColdFusionサーバーを悪用することに成功すると、攻撃者はセキュリティ対策をバイパスし、任意のファイルシステム書き込みを実行することも可能になるという。

Fofa検索エンジンは、インターネット上に公開された145,000台以上のColdFusionサーバーを追跡しているが、リモートからアクセス可能な管理パネルを持つサーバーを正確に特定することは不可能である。

CISAは、両脆弱性をKnown Exploited Vulnerabilitiesカタログに追加し、積極的に悪用されているとタグ付けした。拘束力のある運用指令(BOD)22-01によって義務付けられているように、連邦政府機関は1月6日までに3週間以内にネットワークを保護しなければならない。

「この種の脆弱性は、悪意のあるサイバー・アクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とサイバーセキュリティ機関は述べている。

CISAのKEVカタログは、主に連邦政府機関に対して、できるだけ早くパッチを当てるべきセキュリティ・バグについて警告を発しているが、民間組織に対しても、進行中の攻撃を阻止するために、これらの脆弱性の緩和を優先するよう勧告している。

マイクロソフト社の広報担当者は、本日未明、CVE-2024-35250の悪用に関する詳細について問い合わせたが、すぐにコメントを得ることはできなかった。