דו"ח של Experis Cyber: אזהרה של CISA מפני פרצת אבטחה קריטית במערכות Windows
בדו"ח שפרסמה השבוע Experis Cyber ללקוחותיה היא עדכנה אותם אודות אזהרה שהעבירה הסוכנות לאבטחת סייבר ותשתיות של ארה"ב (CISA) לממשל האמריקאי, מפני מתקפות מתמשכות שמנצלות פרצת אבטחה חמורה ב-Windows Kernel, המאפשרת האקרים להשיג גישה ברמת SYSTEM.
לפי הדו"ח הפרצה שזוהתה כ-CVE-2024-35250, נגרמת כתוצאה מפגיעות בהפניה של מצביע לא מהימן ומאפשרת לתוקפים מקומיים לבצע מתקפות פשוטות ללא צורך באינטראקציה מצד המשתמש. החולשה זוהתה ברכיב Microsoft Kernel Streaming Service (MSKSSRV.SYS) ונוצלה כבר ביום הראשון של תחרות ההאקינג Pwn2Own Vancouver 2024.
מיקרוסופט תיקנה את הבעיה ב-June Patch Tuesday 2024, אך רק לאחר ארבעה חודשים הופיע קוד ניצול להוכחת יכולת (Proof of Concept) ב-GitHub, שמשך את תשומת הלב של גורמים זדוניים. סרטון שפורסם על ידי DEVCORE הציג הדגמה של פריצה למערכת Windows 11 באמצעות ניצול חולשה זו, המדגישה את הסיכון שבהתקפות מסוג זה. בנוסף, CISA הוסיפה קטגוריה נוספת של פרצה חמורה CVE-2024-20767 ב-Adobe ColdFusion, שמאפשרת גישה לא מאומתת לקבצים רגישים ואפילו כתיבה אקראית למערכת הקבצים.
מנוע החיפוש Fofa זיהה מעל 145,000 שרתי ColdFusion החשופים לרשת, כאשר רבים מהם מסכנים את הארגונים עקב פאנלים ניהוליים שאינם מוגנים כראוי. סוכנויות פדרליות מחויבות על פי הנחיה BOD 22-01 לתקן את הפרצות עד 6 בינואר כדי להבטיח אבטחת המערכות שלהן.CISA מדגישה שהפרצות הללו משמשות תוקפים לעיתים קרובות כווקטור תקיפה ראשוני ומסכנות גם ארגונים פרטיים, שמוזמנים לנקוט צעדי הגנה דחופים.
הפגיעות במערכות Windows ו-ColdFusion מדגישה את הצורך במודעות וביישום עדכונים שוטפים כדי להתמודד עם איומי סייבר מתקדמים. הסיכון אינו מוגבל לממשל האמריקאי בלבד, אלא מהווה קריאת השכמה לכל ארגון, קטן כגדול, לשדרג את מערכות האבטחה שלו. חוסר תגובה מצד מיקרוסופט בשלב זה מעלה שאלות נוספות לגבי היקף הניצול הפעיל של הפרצות והאחריות של ענקית הטכנולוגיה בשיפור ההגנה על לקוחותיה.
מומחי Experis Cyber ממליצים לחברות בארץ לעדכן את כל המערכות ל-Windows 11 ולהתקין את עדכוני האבטחה העדכניים ביותר, במיוחד את תיקוני יוני 2024. כמו כן, מומלץ לשדרג או לתקן מיידית את כל שרתי ColdFusion לגרסה המאובטחת ביותר ולהגביל גישה לפאנל הניהולי שלהם.
