CVE-2023-28252 Sfruttato da Nokoyawa Ransomware

Ancora un altro Patch Tuesday è uscito, affrontando un totale di 97 vulnerabilità di sicurezza in vari prodotti Microsoft.

Aprile 2023 Patch Martedì: Cosa è stato patchato?

Questo martedì, Microsoft ha rilasciato una serie di 97 aggiornamenti di sicurezza per affrontare vari difetti che incidono sui suoi prodotti software, uno dei quali viene utilizzato negli attacchi ransomware. Di quelli 97, sette sono classificati critici, 90 Importante, e 45 sono esecuzione di codice remoto difetti.

Nell'ultimo mese, Anche Microsoft ha risolto 26 vulnerabilità nel suo browser Edge. Il difetto attivamente sfruttato è CVE-2023-28252 (Punteggio CVSS: 7.8), un bug di escalation dei privilegi nel file system di registro comune di Windows (CLFS) Autista. Lo sfruttamento di questa vulnerabilità consentirebbe a un utente malintenzionato di ottenere privilegi di SISTEMA, ed è il quarto difetto di escalation dei privilegi nel componente CLFS che è stato abusato nell'ultimo anno dopo CVE-2022-24521, CVE-2022-37969, e CVE-2023-23376 (Punteggi CVSS: 7.8). Da 2018, almeno 32 sono state identificate vulnerabilità in CLFS.

CVE-2023-28252 Sfruttato da Ransomware

Secondo Kaspersky, un gruppo criminale informatico ha approfittato di CVE-2023-28252, una vulnerabilità di scrittura fuori dai limiti che viene attivata quando il file di registro di base viene manipolato, da schierare Nokoyawa ransomware contro le piccole e medie imprese del Medio Oriente, Nord America, e in Asia.

Questo gruppo è noto per il suo ampio uso di vari, ancora correlato, File di registro comune (CLFS) exploit del conducente, Kaspersky disse. Le prove suggeriscono che lo stesso autore dell'exploit era responsabile del loro sviluppo. Dal giugno 2022, cinque diversi exploit sono stati identificati come utilizzati in attacchi al dettaglio e all'ingrosso, energia, produzione, assistenza sanitaria, sviluppo software e altre industrie. Utilizzo del giorno zero CVE-2023-28252, questo gruppo ha tentato di distribuire il ransomware Nokoyawa come payload finale.

Come risultato di questi attacchi, l'Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture (CISA) ha aggiunto lo zero-day di Windows alle sue Vulnerabilità sfruttate note (KEV) catalogare, e ha ordinato il ramo esecutivo civile federale (FCEB) agenzie di applicare misure di sicurezza ai propri sistemi entro maggio 2, 2023.

Altri difetti corretti

Sono stati inoltre risolti numerosi altri problemi critici relativi all'esecuzione di codice in modalità remota, comprese le vulnerabilità che incidono sul servizio server DHCP, Strato 2 tunneling Protocol, Estensione dell'immagine non elaborata, Protocollo di tunneling da punto a punto di Windows, Multicast generale pragmatico di Windows, e Accodamento messaggi Microsoft (MSMQ). Tra le vulnerabilità corrette c'è CVE-2023-21554 (Punteggio CVSS: 9.8), soprannominato QueueJumper da Check Point, che potrebbe consentire a un utente malintenzionato di inviare un pacchetto MSMQ dannoso appositamente predisposto a un server MSMQ e ottenere il controllo del processo, esecuzione di codice senza autorizzazione. In aggiunta, altri due difetti relativi a MSMQ, CVE-2023-21769 e CVE-2023-28302 (Punteggi CVSS: 7.5), può essere sfruttato per causare denial-of-service (DoS) condizioni come arresti anomali del servizio e Windows Blue Screen of Death (BSoD).

Che cos'è il martedì delle patch?

Il secondo martedì di ogni mese, Microsoft rilascia sicurezza e altre patch software per i suoi prodotti. Questo è noto come “Patch Martedì” o “Aggiornamento martedì” o “Martedì Microsoft”. È una parte importante del piano di sicurezza di Microsoft, poiché aiuta gli utenti a rimanere aggiornati con le correzioni e gli aggiornamenti di sicurezza più recenti.