Os peritos da Kaspersky descobriram um tipo de ciberataque que recorre a uma vulnerabilidade zero-day no Common Log File System (CLFS) da Microsoft. Um grupo de cibercriminosos utilizou um exploit desenvolvido para diferentes versões do sistema operativo Windows, incluindo o Windows 11, e tentou implementar o ransomware Nokoyawa. A Microsoft atribuiu a identificação CVE-2023-28252 a esta vulnerabilidade e corrigiu-a no âmbito da Patch Tuesday.

Apesar de a maioria das vulnerabilidades descobertas pela Kaspersky serem utilizadas por atacantes de Advanced Persistent Threat (APT), esta foi explorada para fins criminosos por um grupo sofisticado que efetua ataques de ransomware. Este grupo destaca-se pela exploração de vulnerabilidades do Common Log File System (CLFS). A Kaspersky já registou pelo menos cinco Exploits diferentes, utilizados em ataques aos setores de retalho e grossista, energia, indústria, cuidados de saúde, desenvolvimento de software, entre outras indústrias.

A Microsoft atribuiu a identificação CVE-2023-28252 a esta ameaça zero-day, que consiste numa vulnerabilidade de aumento de privilégios ao Common Log File System, desencadeada pela manipulação do formato de ficheiro utilizado por este subsistema. Os analistas da Kaspersky descobriram esta vulnerabilidade após a análise de tentativas de execução de exploits de aumento de privilégios em servidores Microsoft Windows em PMEs no Médio Oriente e na América do Norte.

A CVE-2023-28252 foi vista pela primeira vez pela Kaspersky num ataque em que os cibercriminosos tentaram implementar uma versão mais recente do ransomware Nokoyawa. As versões mais antigas deste ransomware eram variantes do ransomware JSWorm, mas no ataque acima mencionado a variante do Nokoyawa era bastante distinta em termos do código-fonte. 

O exploit utilizado no ataque foi desenvolvido para suportar diferentes versões do sistema operativo Windows, incluindo o Windows 11. Os atacantes usaram a vulnerabilidade CVE-2023-28252 para aumentar os privilégios e roubar as credenciais da base de dados do Gestor de Contas de Segurança (SAM).

"Os grupos de cibercriminalidade estão a tornar-se cada vez mais sofisticados, utilizando Exploits zero-day nos seus ataques. Anteriormente, eram uma ferramenta dos criminosos de APT, mas, agora, os atacantes têm recursos para adquirir Exploits zero-day e utilizá-los. Há também criadores de exploits dispostos a ajudá-los e a criar diferentes versões. É muito importante que as empresas descarreguem e apliquem o patch mais recente da Microsoft o mais rapidamente possível e utilizem outros métodos de proteção, como soluções EDR", afirmou Boris Larin, Investigador Principal de Segurança da Equipa Global de Investigação e Análise (GReAT) da Kaspersky.

Os produtos Kaspersky detetam e protegem contra a exploração da vulnerabilidade acima referida e malware relacionado. 

Classifique este item
(0 votos)
Ler 952 vezes
Top