CISA je naredila agencijama Federalne civilne izvršne vlasti SAD-a (FCEB) da osiguraju svoje Windows sustave od ranjivosti visoke ozbiljnosti u Microsoft Streaming Service (MSKSSRV.SYS) koja se aktivno iskorištava u napadima.
Sigurnosni propust (praćen kao CVE-2023-29360) nastao je zbog slabosti dereferencije nepouzdanog pokazivača koja lokalnim napadačima omogućuje dobivanje SUSTAVNIH privilegija u napadima niske složenosti koji ne zahtijevaju interakciju korisnika.
CVE-2023-29360 pronašao je Thomas Imbert iz Synactiva u Microsoft Streaming Service Proxyju (MSKSSRV.SYS) i prijavio ga Microsoftu kroz Zero Day Initiative tvrtke Trend Micro. Redmond je zakrpao bug tijekom Patch Tuesdaya u lipnju 2023., a kod za iskorištavanje dokaza koncepta postavljen je na GitHub tri mjeseca kasnije, 24. rujna.
Američka agencija za kibernetičku sigurnost nije dala detalje o napadima koji su u tijeku, ali je potvrdila da nisu pronađeni dokazi da je ova ranjivost korištena u napadima ransomwarea.
CISA je također dodala bug u svoj katalog poznatih iskorištenih ranjivosti ovog tjedna, upozoravajući da su takvi sigurnosni bugovi “česti vektori napada za zlonamjerne cyber aktere i predstavljaju značajne rizike za federalno poduzeće”. Kao što je propisano obvezujućom operativnom direktivom (BOD 22-01) izdanom u studenom 2021., federalne agencije moraju popraviti svoje Windows sustave protiv ove sigurnosne greške u roku od tri tjedna, do 21. ožujka.
Iako je CISA-in KEV katalog primarno usredotočen na upozoravanje federalnih agencija o sigurnosnim propustima koje bi trebalo riješiti što je prije moguće, privatnim organizacijama diljem svijeta također se savjetuje da daju prioritet krpanju ove ranjivosti kako bi blokirali tekuće napade.
Iskorištava se u napadima zlonamjernog softvera od kolovoza
Američko-izraelska tvrtka za kibernetičku sigurnost Check Point pružila je više informacija o ovoj ranjivosti prošlog mjeseca, rekavši da napadi zlonamjernog softvera Raspberry Robin iskorištavaju CVE-2023-29360 od kolovoza 2023.
“Nakon što smo pogledali uzorke Raspberry Robina prije listopada, otkrili smo da je također koristio exploit za CVE-2023-29360. Ova je ranjivost javno objavljena u lipnju, a Raspberry Robin ju je iskoristio u kolovozu”, rekli su iz Check Pointa.
“Iako je ovo prilično laka ranjivost za iskorištavanje, činjenica da je pisac exploita imao radni uzorak prije nego što je bilo poznatog exploita na GitHubu je impresivna kao i koliko ga je brzo Raspberry Robin iskoristio.”