CVE-2023-28252 Explorado pelo Nokoyawa Ransomware

Mais um Patch Tuesday foi lançado, abordando um total de 97 vulnerabilidades de segurança em vários produtos da Microsoft.

abril 2023 patch Tuesday: O que foi corrigido?

Essa terça-feira, A Microsoft lançou um conjunto de 97 atualizações de segurança para corrigir várias falhas que afetam seus produtos de software, um dos quais está sendo usado em ataques de ransomware. Daqueles 97, sete são classificados como críticos, 90 Importante, e 45 estão execução remota de código falhas.

No último mês, Microsoft também corrigiu 26 vulnerabilidades em seu navegador Edge. A falha ativamente explorada é CVE-2023-28252 (pontuação CVSS: 7.8), um bug de escalonamento de privilégios no Windows Common Log File System (CLFS) Motorista. Explorar esta vulnerabilidade permitiria que um invasor obtivesse privilégios de SISTEMA, e é a quarta falha de escalonamento de privilégios no componente CLFS que foi abusada no ano passado após CVE-2022-24521, CVE-2022-37969, e CVE-2023-23376 (pontuações CVSS: 7.8). Desde a 2018, finalmente 32 vulnerabilidades foram identificadas no CLFS.

CVE-2023-28252 explorado por ransomware

De acordo com a Kaspersky, um grupo de cibercrimes aproveitou CVE-2023-28252, uma vulnerabilidade de gravação fora dos limites que é acionada quando o arquivo de log base é manipulado, implantar ransomware Nokoyawa contra pequenas e médias empresas no Oriente Médio, América do Norte, e Ásia.

Este grupo é conhecido por seu uso extensivo de vários, ainda relacionado, Sistema de arquivo de registro comum (CLFS) exploits de driver, Kaspersky disse. Evidências sugerem que o mesmo autor do exploit foi responsável por seu desenvolvimento. desde junho 2022, cinco explorações diferentes foram identificadas como sendo usadas em ataques a varejo e atacado, energia, fabrico, cuidados de saúde, desenvolvimento de software e outras indústrias. Usando o dia zero CVE-2023-28252, este grupo tentou implantar o ransomware Nokoyawa como a carga final.

Como resultado desses ataques, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou o dia zero do Windows às suas vulnerabilidades exploradas conhecidas (KEV) Catálogo, e ordenou ao Poder Executivo Federal Civil (FCEB) agências aplicarão medidas de segurança em seus sistemas até maio 2, 2023.

Outras falhas corrigidas

Vários outros problemas críticos de execução remota de código também foram resolvidos, incluindo vulnerabilidades que afetam o serviço do servidor DHCP, Camada 2 tunneling Protocol, Extensão de imagem bruta, Protocolo de encapsulamento ponto a ponto do Windows, Windows Pragmatic General Multicast, e Enfileiramento de Mensagens da Microsoft (MSMQ). Entre as vulnerabilidades corrigidas está a CVE-2023-21554 (pontuação CVSS: 9.8), apelidado de QueueJumper por Check Point, que pode permitir que um invasor envie um pacote MSMQ malicioso especialmente criado para um servidor MSMQ e obtenha o controle do processo, executando código sem autorização. além do que, além do mais, duas outras falhas relacionadas ao MSMQ, CVE-2023-21769 e CVE-2023-28302 (pontuações CVSS: 7.5), pode ser explorado para causar negação de serviço (DoS) condições como falhas de serviço e Windows Tela azul da morte (BSoD).

O que é Patch Tuesday?

Na segunda terça-feira de cada mês, Microsoft lança segurança e outros patches de software para seus produtos. Isso é conhecido como “patch Tuesday” ou “Atualizar terça-feira” ou “Microsoft terça-feira”. É uma parte importante do plano de segurança da Microsoft, pois ajuda os usuários a se manterem atualizados com as mais recentes correções e atualizações de segurança.