CVE-2023-28252 uitgebuit door Nokoyawa Ransomware

Er is weer een Patch Tuesday uitgerold, adresseren in totaal 97 beveiligingsproblemen in verschillende Microsoft-producten.

April 2023 Patch Tuesday: Wat is er gepatcht?

Deze dinsdag, Microsoft heeft een set van 97 beveiligingsupdates om verschillende gebreken aan te pakken die van invloed zijn op zijn softwareproducten, waarvan er één wordt gebruikt bij ransomware-aanvallen. Van deze 97, zeven zijn beoordeeld als kritiek, 90 Belangrijk, en 45 zijn uitvoering van externe code gebreken.

In de afgelopen maand, Microsoft heeft ook gerepareerd 26 kwetsbaarheden in de Edge-browser. De actief uitgebuite fout is CVE-2023-28252 (CVSS-score: 7.8), een bug voor privilege-escalatie in het Windows Common Log File System (CLFS) Bestuurder. Door dit beveiligingslek te misbruiken, kan een aanvaller SYSTEEM-privileges verkrijgen, en het is de vierde fout in de escalatie van privileges in de CLFS-component die het afgelopen jaar is misbruikt na CVE-2022-24521, CVE-2022-37969, en CVE-2023-23376 (CVSS-scores: 7.8). Sinds 2018, minstens 32 kwetsbaarheden zijn geïdentificeerd in CLFS.

CVE-2023-28252 uitgebuit door ransomware

Volgens Kaspersky, een cybercriminaliteitsgroep heeft misbruik gemaakt van CVE-2023-28252, een out-of-bounds schrijfkwetsbaarheid die wordt geactiveerd wanneer het basislogbestand wordt gemanipuleerd, inzetten Nokoyawa-ransomware tegen het midden- en kleinbedrijf in het Midden-Oosten, Noord Amerika, en Azië.

Deze groep staat bekend om zijn uitgebreide gebruik van verschillende, toch verwant, Gemeenschappelijk logbestandssysteem (CLFS) exploits van chauffeurs, Kaspersky zei. Er zijn aanwijzingen dat dezelfde exploit-auteur verantwoordelijk was voor hun ontwikkeling. Sinds juni 2022, Er zijn vijf verschillende exploits geïdentificeerd die worden gebruikt bij aanvallen op detailhandel en groothandel, energie, fabricage, gezondheidszorg, softwareontwikkeling en andere industrieën. Met behulp van de CVE-2023-28252 zero-day, deze groep probeerde de Nokoyawa-ransomware in te zetten als de laatste payload.

Als gevolg van deze aanvallen, het bureau voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft de Windows zero-day toegevoegd aan zijn bekende uitgebuite kwetsbaarheden (KEV) catalogus, en heeft de federale civiele uitvoerende macht bevolen (FCEB) agentschappen om tegen mei beveiligingsmaatregelen op hun systemen toe te passen 2, 2023.

Andere vaste gebreken

Een aantal andere kritieke problemen met het uitvoeren van externe code zijn ook verholpen, inclusief kwetsbaarheden die van invloed zijn op de DHCP Server Service, Laag 2 tunneling Protocol, Extensie voor onbewerkte afbeeldingen, Windows Point-to-Point Tunneling Protocol, Windows pragmatische algemene multicast, en Microsoft Message Queuing (MSMQ). Een van de gepatchte kwetsbaarheden is CVE-2023-21554 (CVSS-score: 9.8), genaamd QueueJumper door Check Point, waardoor een aanvaller een speciaal vervaardigd kwaadaardig MSMQ-pakket naar een MSMQ-server kan sturen en controle over het proces kan krijgen, code uitvoeren zonder autorisatie. Bovendien, twee andere MSMQ-gerelateerde fouten, CVE-2023-21769 en CVE-2023-28302 (CVSS-scores: 7.5), kan worden misbruikt om denial-of-service te veroorzaken (DoS) omstandigheden zoals servicecrashes en Windows Blue Screen of Death (BSoD).

Wat is patch-dinsdag?

Elke tweede dinsdag van de maand, Microsoft brengt beveiligings- en andere softwarepatches uit voor zijn producten. Dit staat bekend als “Patch Tuesday” of “Update dinsdag” of “Microsoft dinsdag”. Het is een belangrijk onderdeel van het beveiligingsplan van Microsoft, omdat het gebruikers helpt up-to-date te blijven met de nieuwste beveiligingsoplossingen en updates.