CVE-2023-28252 explotado por el ransomware Nokoyawa

Se ha lanzado otro martes de parches, abordar un total de 97 vulnerabilidades de seguridad en varios productos de Microsoft.

Abril 2023 Martes de parches: Lo que ha sido parcheado?

Este Martes, Microsoft lanzó un conjunto de 97 actualizaciones de seguridad para abordar varios defectos que afectan a sus productos de software, uno de los cuales se está utilizando en ataques de ransomware. De aquellos 97, siete están calificados como Críticos, 90 Importante, y 45 son ejecución remota de código defectos.

En el último mes, Microsoft también arregló 26 vulnerabilidades en su navegador Edge. La falla explotada activamente es CVE-2023-28252 (Puntuación CVSS: 7.8), un error de escalada de privilegios en el sistema de archivos de registro común de Windows (CLFS) Conductor. La explotación de esta vulnerabilidad permitiría a un atacante obtener privilegios de SISTEMA, y es la cuarta falla de escalada de privilegios en el componente CLFS que ha sido abusada en el último año después de CVE-2022-24521, CVE-2022-37969, y CVE-2023-23376 (Puntuaciones CVSS: 7.8). Desde 2018, Al menos 32 se han identificado vulnerabilidades en CLFS.

CVE-2023-28252 explotado por ransomware

Según Kaspersky, un grupo de cibercrimen se ha aprovechado de CVE-2023-28252, una vulnerabilidad de escritura fuera de los límites que se activa cuando se manipula el archivo de registro base, desplegar ransomware nokoyawa contra las pequeñas y medianas empresas en Oriente Medio, Norteamérica, y Asia.

Este grupo es conocido por su amplio uso de varios, todavía relacionado, Sistema de archivo de registro común (CLFS) hazañas del conductor, Kaspersky dijo. La evidencia sugiere que el mismo autor del exploit fue responsable de su desarrollo.. Desde junio 2022, Se han identificado cinco exploits diferentes que se utilizan en ataques a minoristas y mayoristas., energía, fabricación, cuidado de la salud, desarrollo de software y otras industrias. Usando el día cero CVE-2023-28252, este grupo intentó implementar el ransomware Nokoyawa como carga útil final.

Como resultado de estos ataques, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha agregado el día cero de Windows a sus vulnerabilidades explotadas conocidas (KEV) catalogar, y ha ordenado al Poder Ejecutivo Federal Civil (FCEB) agencias apliquen medidas de seguridad a sus sistemas para mayo 2, 2023.

Otros defectos solucionados

También se han abordado otros problemas críticos de ejecución remota de código., incluidas las vulnerabilidades que afectan al servicio del servidor DHCP, Capa 2 Protocolo de túnel, Extensión de imagen sin procesar, Protocolo de tunelización punto a punto de Windows, Multidifusión general pragmática de Windows, y cola de mensajes de Microsoft (MSMQ). Entre las vulnerabilidades parcheadas se encuentra CVE-2023-21554 (Puntuación CVSS: 9.8), apodado QueueJumper por Check Point, que podría permitir a un atacante enviar un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ y obtener el control del proceso, ejecutar código sin autorización. Adicionalmente, otras dos fallas relacionadas con MSMQ, CVE-2023-21769 y CVE-2023-28302 (Puntuaciones CVSS: 7.5), puede ser explotado para causar denegación de servicio (DoS) condiciones como caídas del servicio y Windows Pantalla Azul de la Muerte (BSoD).

¿Qué es el martes de parches??

El segundo martes de cada mes, Microsoft lanza seguridad y otros parches de software para sus productos. Esto se conoce como “Martes de parches” o “Actualización martes” o “Martes de Microsoft”. Es una parte importante del plan de seguridad de Microsoft., ya que ayuda a los usuarios a mantenerse actualizados con las correcciones y actualizaciones de seguridad más recientes.