Een eerder dit jaar ontdekte, zeer kritieke Windows-kernelkwetsbaarheid stelt hackers in staat om eenvoudig toegang te krijgen tot systeemprivileges zonder interactie met eindgebruikers. Inmiddels heeft CISA hiervoor een waarschuwing afgegeven, omdat de exploit actief wordt misbruikt.
Sinds juni dit jaar is de kritieke Windows-kwetsbaarheid CVE-2024-35250 bekend. Deze kwetsbaarheid stelt Windows-systemen op kernel-niveau bloot aan een mogelijke escalatie van systeemprivileges. Het gaat hierbij om een zogenoemde onvertrouwde ‘pointer’-kwetsbaarheid, waarmee lokale aanvallers toegang krijgen tot systeemprivileges via relatief eenvoudige aanvallen die geen interactie met eindgebruikers vereisen.
De kwetsbaarheid werd ontdekt door de security-experts van het DEVCORE Research Team. Volgens hen ligt de oorzaak in de Microsoft Kernel Streaming Service (MSKSSRV.SYS), een onderdeel van de Windows-kernel. De onderzoekers wisten hiermee met succes een Windows 11 23H2-systeem te compromitteren.
Microsoft heeft inmiddels een patch uitgebracht voor deze kwetsbaarheid en een proof-of-concept via GitHub gedeeld. Toch blijft de kwetsbaarheid actueel en wordt deze waarschijnlijk actief misbruikt. De Amerikaanse cybertoezichthouder CISA heeft daarom een officiële waarschuwing afgegeven. Overheidsinstellingen in de VS worden opgeroepen hun Windows-systemen zo snel mogelijk te updaten.
Adobe ColdFusion-kwetsbaarheid
Naast de Windows-kernelwaarschuwing waarschuwt CISA ook voor een kritieke kwetsbaarheid in Adobe ColdFusion, geregistreerd als CVE-2024-20767. Deze kwetsbaarheid is het gevolg van gebrekkige toegangscontrole, waardoor ongeautoriseerde aanvallers op afstand toegang kunnen krijgen tot systemen en bestanden kunnen lezen.
Door ColdFusion-servers te compromitteren waarvan admin-omgevingen publiek toegankelijk zijn, kunnen aanvallers beveiligingsmaatregelen omzeilen en willekeurige file system writes uitvoeren. Inmiddels houden zoekmachines zoals Fofa wereldwijd meer dan 145.000 blootgestelde ColdFusion-servers in de gaten. Adobe heeft de kwetsbaarheid al in maart van dit jaar verholpen.
CISA heeft beide kwetsbaarheden toegevoegd aan zijn Known Exploited Vulnerabilities-catalogus en gemarkeerd als actief misbruikt. Amerikaanse overheidsorganisaties zijn wettelijk verplicht om binnen drie weken maatregelen te treffen tegen deze bedreigingen. Ook andere bedrijven wordt dringend aangeraden om zo snel mogelijk te patchen.
Lees ook: Hackers verspreiden malware in Windows-kernel via opensource-software