Vulnerabilidade zero-day usada em ataques de ransomware

Os peritos da Kaspersky descobriram um tipo de ciberataque que recorre a uma vulnerabilidade zero-day no Common Log File System (CLFS) da Microsoft.

Um grupo de cibercriminosos utilizou um exploit desenvolvido para diferentes versões do sistema operativo Windows, incluindo o Windows 11, e tentou implementar o ransomware Nokoyawa.

A Microsoft atribuiu a identificação CVE-2023-28252 a esta vulnerabilidade e corrigiu-a no âmbito da Patch Tuesday.

Apesar de a maioria das vulnerabilidades descobertas pela Kaspersky serem utilizadas por atacantes de Advanced Persistent Threat (APT), esta foi explorada para fins criminosos por um grupo sofisticado que efetua ataques de ransomware.

Este grupo destaca-se pela exploração de vulnerabilidades do Common Log File System (CLFS). A Kaspersky já registou pelo menos cinco Exploits diferentes, utilizados em ataques aos setores de retalho e grossista, energia, indústria, cuidados de saúde, desenvolvimento de software, entre outras indústrias.

A Microsoft atribuiu a identificação CVE-2023-28252 a esta ameaça zero-day, que consiste numa vulnerabilidade de aumento de privilégios ao Common Log File System, desencadeada pela manipulação do formato de ficheiro utilizado por este subsistema. Os analistas da Kaspersky descobriram esta vulnerabilidade após a análise de tentativas de execução de exploits de aumento de privilégios em servidores Microsoft Windows em PMEs no Médio Oriente e na América do Norte.

A CVE-2023-28252 foi vista pela primeira vez pela Kaspersky num ataque em que os cibercriminosos tentaram implementar uma versão mais recente do ransomware Nokoyawa.

As versões mais antigas deste ransomware eram variantes do ransomware JSWorm, mas no ataque acima mencionado a variante do Nokoyawa era bastante distinta em termos do código-fonte.