CISA обязало федеральные ведомства в срочном порядке исправить уязвимость в Windows 10

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) поставило федеральные ведомства в жесткие временные рамки, обязав их исправить критическую уязвимость в Windows 10 до 18 февраля.

Речь идет об уязвимости CVE-2022-21882 (7.0 балла по шкале оценивания опасности уязвимостей CVSS), которую CISA добавило в свой Каталог известных эксплуатируемых уязвимостей.

«Уязвимости такого типа являются популярным у киберпреступников вектором атаки и представляют существенную угрозу безопасности федеральных управлений», - сообщило CISA.

CVE-2022-21882 представляет собой уязвимость в Windows 10, и ее эксплуатация не требует высоких привилегий. В наихудшем случае для успешной эксплуатации не требуется никаких действий со стороны пользователей.

Компания Microsoft исправила уязвимость в рамках «вторника исправлений» в январе 2022 года.

PoC-эксплоит для уязвимости доступен уже несколько недель. Его автором является глава Privacy Piiano Гил Даба (Gil Dabah), обнаруживший проблему еще два года назад. Выявив проблему, исследователь решил не сообщать о ней Microsoft, поскольку злился на компанию за несвоевременные и недостаточные выплаты вознаграждений bug bounty.

CISA добавило уязвимость в базу данных известных эксплуатируемых уязвимостей, поскольку она уже используется в атаках. Хотя дедлайн для исправления уязвимости был установлен только для федеральных ведомств, CISA надеется, что частные компании также установят патчи.