CISA ha aggiunto una vulnerabilità di escalation dei privilegi locali sfruttata attivamente nel sottosistema di runtime client/server (CSRSS) di Windows al suo elenco di bug di cui si è fatto abuso in natura.
Questa vulnerabilità di elevata gravità (tracciato come CVE-2022-22047 ) ha un impatto sulle piattaforme Windows server e client, comprese le ultime versioni di Windows 11 e Windows Server 2022.
Microsoft lo ha aggiornato come parte del Patch Tuesday di luglio 2022 e lo ha classificato come zero-day poiché è stato utilizzato negli attacchi prima che fosse disponibile una correzione.
“Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe ottenere i privilegi di SISTEMA”, ha spiegato Microsoft in un avviso di sicurezza.
Redmond afferma che la vulnerabilità è stata scoperta internamente dal Microsoft Threat Intelligence Center (MSTIC) e dal Microsoft Security Response Center (MSRC).
CISA ha concesso alle agenzie tre settimane, fino al 2 agosto, per correggere la vulnerabilità CVE-2022-22047 sfruttata attivamente e bloccare gli attacchi in corso che potrebbero prendere di mira i loro sistemi.
Secondo una direttiva operativa (BOD 22-01) emessa a novembre, tutte le agenzie della Federal Civilian Executive Branch Agency (FCEB) sono tenute a proteggere le proprie reti dai bug di sicurezza aggiunti al catalogo CISA delle vulnerabilità sfruttate (KEV).
Sebbene la direttiva BOD 22-01 si applichi solo alle agenzie federali statunitensi, CISA esorta anche tutte le organizzazioni negli Stati Uniti a correggere questo bug relativo all’elevazione dei privilegi CSRSS di Windows per contrastare i tentativi degli aggressori di aumentare i privilegi sui sistemi Windows senza patch.
“Questi tipi di vulnerabilità sono un vettore di attacco frequente per gli hackers informatici e rappresentano un rischio significativo per l’impresa federale”, ha spiegato l’agenzia di sicurezza informatica statunitense.
Da quando è stato emesso il BOD 22-01, CISA ha aggiunto centinaia di vulnerabilità di sicurezza al suo elenco di bug sfruttati negli attacchi, ordinando alle agenzie federali statunitensi di patchare i propri sistemi il prima possibile per prevenire violazioni.