Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) поставило федеральные ведомства в жесткие временные рамки, обязав их исправить критическую уязвимость в Windows 10 до 18 февраля, сообщает SecurityLab.
Речь идет об уязвимости CVE-2022-21882 (7.0 балла по шкале оценивания опасности уязвимостей CVSS), которую CISA добавило в свой Каталог известных эксплуатируемых уязвимостей.
«Уязвимости такого типа являются популярным у киберпреступников вектором атаки и представляют существенную угрозу безопасности федеральных управлений», - сообщило CISA.
CVE-2022-21882 представляет собой уязвимость в Windows 10, и ее эксплуатация не требует высоких привилегий. В наихудшем случае для успешной эксплуатации не требуется никаких действий со стороны пользователей.
Компания Microsoft исправила уязвимость в рамках «вторника исправлений» в январе 2022 года.
PoC-эксплоит для уязвимости доступен уже несколько недель. Его автором является глава Privacy Piiano Гил Даба (Gil Dabah), обнаруживший проблему еще два года назад. Выявив проблему, исследователь решил не сообщать о ней Microsoft, поскольку злился на компанию за несвоевременные и недостаточные выплаты вознаграждений bug bounty.
CISA добавило уязвимость в базу данных известных эксплуатируемых уязвимостей, поскольку она уже используется в атаках. Хотя дедлайн для исправления уязвимости был установлен только для федеральных ведомств, CISA надеется, что частные компании также установят патчи.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.