網絡安全和基礎設施安全局（CISA）已將兩個新的漏洞添加到其已知被利用漏洞目錄中，其中一個是涉及 Windows 內核的漏洞，目前正被用于攻擊。

該漏洞編號為CVE-2024-35250，具體是在 Windows 的 ks.sys 驅動中存在的 "不受信任的指針解引用" 。這個漏洞可以通過利用未受信任的指針，來進行任意內存讀寫，最終實現權限提升。這種問題可能導致系統崩潰或使攻擊者能夠執行任意代碼，對安全專業人員來說是一個重要關注點。

微軟已在最近的12月星期二補丁中修復了該漏洞 ，并表示“成功利用這一漏洞的攻擊者可能獲得 system權限。”該公司在6月發布的安全公告中僅提供了有限的細節，不過發現該漏洞的 DEVCORE 研究團隊通過趨勢科技的零日計劃（Zero Day Initiative）將其報告給微軟，并確定受影響的系統組件為 Microsoft Kernel Streaming Service (MSKSSRV.SYS)。

影響版本：

• Windows 10 20H2 Build 19042  
• Windows 11 22H2 Build 22621  
• VMWare Workstation 17 Pro 環境下也可被利用

漏洞細節：

攻擊者可以通過發送特制的 IOCTL 請求觸發 ks.sys 驅動中的漏洞，利用不可信指針的解引用，最終對系統內存進行任意讀寫操作。

限制條件：  

• 實測該漏洞無法在 Hyper-V 環境中成功利用；
• 攻擊者需要擁有中等權限（Medium Integrity Level，通常為普通用戶權限），才能觸發漏洞進行提權。    

當前大部分 XDR（擴展檢測和響應）解決方案能夠檢測并阻止該漏洞的利用行為。

另外一個漏洞編號是CVE-2024-20767：此漏洞影響 Adobe ColdFusion，涉及不當的訪問控制。攻擊者可以利用此類漏洞來獲取敏感信息或系統的未經授權訪問，對網絡安全構成重大威脅。對此，CISA 的操作指令（BOD）22-01，題為“減少已知被利用漏洞的重大風險”，要求聯邦政府行政部門（FCEB）機構在指定的截止日期前修補這些漏洞，并表示“此類漏洞是一種常見的攻擊途徑，對聯邦企業構成重大風險。”

雖然 BOD 22-01 明確針對 FCEB 機構，但CISA 依舊強烈建議所有組織采取積極措施，以減少其網絡攻擊的暴露面。

參考來源：https://cybersecuritynews.com/windows-kernal-vulnerability-actively-exploits-in-attacks/