12 月 17 日消息,美国网络安全和基础设施安全局(CISA)警告联邦机构,需尽快修复 Windows 和 Adobe ColdFusion 漏洞,以防范潜在的网络攻击。

CISA 已将这两个漏洞添加到其“已知被利用漏洞目录”(KEV),敦促联邦机构在三周内完成修复。

Windows 内核漏洞 (CVE-2024-35250)

注:该漏洞追踪编号为 CVE-2024-35250,源于不受信任的指针取消引用漏洞,整个过程不需要用户交互,本地攻击者可以获取系统权限。

受影响组件为 Microsoft 内核流服务 (MSKSSRV.SYS),DEVCORE 研究团队在 Pwn2Own 2024 黑客大赛上利用该漏洞,成功攻破了安装最新更新的 Windows 11 系统。

微软 Win10 / Win11 内核漏洞披露:可用于获取系统权限,今年 6 月更新已修复  第1张

微软已在 2024 年 6 月的补丁星期二发布了修复补丁,漏洞利用的概念验证代码于今年 10 月在 GitHub 上公开。

Adobe ColdFusion 漏洞 (CVE-2024-20767)

该漏洞追踪编号为 CVE-2024-20767,源于访问控制不当,让未经身份验证的远程攻击者读取系统及其他敏感文件。

攻击者可利用暴露在互联网上的 ColdFusion 服务器管理面板绕过安全措施,执行任意文件系统写入操作。

Fofa 搜索引擎已追踪到超过 145,000 个暴露在互联网上的 ColdFusion 服务器,但难以确定哪些服务器的管理面板可被远程访问。

Adobe 已于 2024 年 3 月发布了修复补丁,但此后多个概念验证漏洞利用代码已在网上公开。

微软 Win10 / Win11 内核漏洞披露:可用于获取系统权限,今年 6 月更新已修复  第2张