CVE-2023-28252 Exploité par Nokoyawa Ransomware

Encore un autre Patch Tuesday a été déployé, adressant un total de 97 vulnérabilités de sécurité dans divers produits Microsoft.

Avril 2023 Patch Tuesday: Ce qui a été patché?

Ce mardi, Microsoft a publié un ensemble de 97 mises à jour de sécurité pour corriger diverses failles affectant ses produits logiciels, dont l'un est utilisé dans des attaques de rançongiciels. De celles 97, sept sont classés critiques, 90 Important, et 45 sont exécution de code distant défauts.

Au cours du mois passé, Microsoft a également corrigé 26 vulnérabilités dans son navigateur Edge. La faille activement exploitée est CVE-2023-28252 (Note CVSS: 7.8), un bogue d'escalade de privilèges dans le système de fichiers journaux commun de Windows (LFS) Chauffeur. L'exploitation de cette vulnérabilité permettrait à un attaquant d'obtenir les privilèges SYSTEM, et c'est la quatrième faille d'escalade de privilèges dans le composant CLFS qui a été abusée au cours de la dernière année après CVE-2022-24521, CVE-2022-37969, et CVE-2023-23376 (Résultats CVSS: 7.8). Depuis 2018, au moins 32 des vulnérabilités ont été identifiées dans CLFS.

CVE-2023-28252 Exploité par Ransomware

Selon Kaspersky, un groupe de cybercriminalité a profité de CVE-2023-28252, une vulnérabilité d'écriture hors limites qui se déclenche lorsque le fichier journal de base est manipulé, déployer Logiciel de rançon Nokoyawa contre les petites et moyennes entreprises du Moyen-Orient, Amérique du Nord, et en Asie.

Ce groupe est connu pour son utilisation intensive de divers, encore lié, Système de fichiers journaux commun (LFS) exploits du pilote, Kaspersky dit. Les preuves suggèrent que le même auteur d'exploit était responsable de leur développement. Depuis juin 2022, cinq exploits différents ont été identifiés comme étant utilisés dans des attaques contre le commerce de détail et de gros, énergie, fabrication, soins de santé, développement de logiciels et autres industries. Utilisation du jour zéro CVE-2023-28252, ce groupe a tenté de déployer le rançongiciel Nokoyawa comme charge utile finale.

Suite à ces attaques, l'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a ajouté le jour zéro de Windows à ses vulnérabilités exploitées connues (KEV) catalogue, et a ordonné au pouvoir exécutif civil fédéral (FCEB) agences à appliquer des mesures de sécurité à leurs systèmes d'ici mai 2, 2023.

Autres défauts corrigés

Un certain nombre d'autres problèmes critiques d'exécution de code à distance ont également été résolus, y compris les vulnérabilités impactant le service du serveur DHCP, Couche 2 Tunneling Protocol, Extension d'image brute, Protocole de tunneling point à point Windows, Multidiffusion générale pragmatique Windows, et Microsoft Message Queuing (MSMQ). Parmi les vulnérabilités corrigées figure CVE-2023-21554 (Note CVSS: 9.8), surnommé QueueJumper par Check Point, qui pourrait permettre à un attaquant d'envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ et de prendre le contrôle du processus, exécuter du code sans autorisation. En outre, deux autres failles liées à MSMQ, CVE-2023-21769 et CVE-2023-28302 (Résultats CVSS: 7.5), peut être exploité pour provoquer un déni de service (DoS) conditions telles que les pannes de service et Windows Blue Screen of Death (BSoD).

Qu'est-ce que le Patch Tuesday?

Le deuxième mardi de chaque mois, Microsoft publie des correctifs de sécurité et d'autres logiciels pour ses produits. Ceci est connu comme “Patch Tuesday” ou “Mise à jour mardi” ou “Microsoft mardi”. C'est une partie importante du plan de sécurité de Microsoft, car il aide les utilisateurs à rester à jour avec les derniers correctifs et mises à jour de sécurité.