Af Eskil Sørensen, 12/04/23
Microsoft har i forbindelse med Patch Tuesday rettet en 0-dagssårbarhed, der har været anvendt ifm ransomwareangreb.
Det skriver Security Week og en række andre medier på baggrund af rapporter fra it-sikkerhedsvirksomheden Kaspersky. Den pågældende sårbarhed har id’et CVE-2023-28252 og beskrives som en priviledge escalation-fejl, der påvirker Windows Common Log File System-driveren (CLFS).
CLFS er et logfil-undersystem, som Microsoft beskriver som en generel logningstjeneste, der kan bruges af softwareklienter, der kører i bruger- eller kernetilstand. Sårbarheden, der påvirker CLFS, tillader en godkendt angriber at ophøje privilegier til System.
Security Week skriver, at en kendt ransomwaregruppe har udnyttet sårbarheden som en del af angreb mhp. at levere en ransomwaretype ved navn Nokoyawa. Microsoft advarer også om, at sårbarheden er blevet udnyttet in-the-wild, men har ikke delt oplysninger om angrebene. Det er Kaspersky, Mandiant og et kinesisk cybersikkerhedsfirma DBAppSecurity, der er blevet krediteret for at rapportere CVE-2023-28252.
Rettet mod Windows
Nokoyawa ransomware dukkede første gang op i februar 2022 og er designet til at angribe Windows-systemer. Den krypterer filer og hævdes ifølge kriminelle også at stjæle information fra kompromitterede systemer. Ransomwaregruppen bag Nokoyawa har ifølge Kaspersky også andre Common Log File System (CLFS) driverudnyttelser på samvittigheden, hvilket tyder på, at gruppen har opbygget ekspertise inden for netop dette område. Det fremgår videre, at over 10 CLFS-sårbarheder er blevet opdaget i de sidste fem år, og mindst tre af dem - ikke inklusive CVE-2023-28252 - er blevet udnyttet in-the-wild.
April måneds Patch Tuesday omfatter rettelser til mindst knap 100 sårbarheder på tværs af Windows-økosystemet.
Links:
https://www.securityweek.com/microsoft-patches-another-already-exploited-windows-zero-day/
https://www.securityweek.com/windows-zero-day-exploited-in-nokoyawa-ransomware-attacks/
https://securityaffairs.com/144692/hacking/windows-zero-day-ransomware-attacks.html