CVE-2023-28252 Ausgenutzt von Nokoyawa Ransomware

Ein weiterer Patch Tuesday ist ausgerollt, Adressierung insgesamt 97 Sicherheitslücken in verschiedenen Microsoft-Produkten.

April 2023 Patchday: Was wurde gepatcht?

Diesen Dienstag, Microsoft veröffentlichte eine Reihe von 97 Sicherheitsupdates, um verschiedene Fehler zu beheben, die sich auf seine Softwareprodukte auswirken, einer davon wird bei Ransomware-Angriffen verwendet. Von diesen 97, sieben werden als Kritisch eingestuft, 90 Wichtig, und 45 sind Remotecodeausführung Mängel.

Im vergangenen Monat, Microsoft auch behoben 26 Schwachstellen in seinem Edge-Browser. Der aktiv ausgenutzte Fehler ist CVE-2023-28252 (CVSS-Score: 7.8), ein Privilege Escalation Bug im Windows Common Log File System (CLFS) Treiber. Das Ausnutzen dieser Schwachstelle würde es einem Angreifer ermöglichen, SYSTEM-Privilegien zu erlangen, und es ist nach CVE-2022-24521 die vierte Privilegien-Eskalationslücke in der CLFS-Komponente, die im vergangenen Jahr missbraucht wurde, CVE-2022-37969, und CVE-2023-23376 (CVSS-Ergebnisse: 7.8). Seit 2018, mindestens 32 Schwachstellen wurden in CLFS identifiziert.

CVE-2023-28252 Von Ransomware ausgenutzt

Laut Kaspersky, eine Cybercrime-Gruppe hat sich CVE-2023-28252 zunutze gemacht, eine Out-of-Bounds-Schreibschwachstelle, die ausgelöst wird, wenn die Basisprotokolldatei manipuliert wird, bereitstellen Nokoyawa-Ransomware gegen kleine und mittlere Unternehmen im Nahen Osten, Nordamerika, und Asien.

Diese Gruppe ist bekannt für ihre umfangreiche Verwendung von verschiedenen, doch verwandt, Gemeinsames Protokolldateisystem (CLFS) Treiber-Exploits, Kaspersky sagte. Es gibt Hinweise darauf, dass derselbe Exploit-Autor für ihre Entwicklung verantwortlich war. Seit Juni 2022, Es wurden fünf verschiedene Exploits identifiziert, die bei Angriffen auf den Einzel- und Großhandel verwendet werden, Energie, Herstellung, Gesundheitswesen, Softwareentwicklung und andere Branchen. Verwendung des CVE-2023-28252 Zero-Day, Diese Gruppe versuchte, die Nokoyawa-Ransomware als letzte Nutzlast einzusetzen.

Als Folge dieser Angriffe, die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat den Zero-Day von Windows zu seinen bekannten ausgenutzten Sicherheitslücken hinzugefügt (KEV) Katalog, und hat Federal Civilian Executive Branch bestellt (FCEB) Behörden, bis Mai Sicherheitsmaßnahmen auf ihren Systemen anzuwenden 2, 2023.

Andere behobene Fehler

Eine Reihe anderer kritischer Probleme bei der Remotecodeausführung wurden ebenfalls behoben, einschließlich Schwachstellen, die sich auf den DHCP-Serverdienst auswirken, Schicht 2 Tunneling Protocol, RAW-Bilderweiterung, Windows Point-to-Point-Tunneling-Protokoll, Pragmatisches allgemeines Multicast von Windows, und Microsoft Message Queuing (MSMQ). Zu den gepatchten Schwachstellen gehört CVE-2023-21554 (CVSS-Score: 9.8), von Check Point als QueueJumper bezeichnet, Dies könnte es einem Angreifer ermöglichen, ein speziell gestaltetes bösartiges MSMQ-Paket an einen MSMQ-Server zu senden und die Kontrolle über den Prozess zu erlangen, Ausführen von Code ohne Autorisierung. Außerdem, zwei weitere MSMQ-bezogene Fehler, CVE-2023-21769 und CVE-2023-28302 (CVSS-Ergebnisse: 7.5), kann ausgenutzt werden, um Denial-of-Service zu verursachen (DoS) Bedingungen wie Dienstabstürze und Windows Blue Screen of Death (BSoD).

Was ist Patch Tuesday?

Am zweiten Dienstag im Monat, Microsoft veröffentlicht Sicherheits- und andere Software-Patches für seine Produkte. Dies ist bekannt als “Patchday” oder “Update Dienstag” oder “Microsoft Dienstag”. Es ist ein wichtiger Bestandteil des Sicherheitsplans von Microsoft, da es Benutzern hilft, mit den neuesten Sicherheitsfixes und Updates auf dem Laufenden zu bleiben.