CVE-2023-28252: uma vulnerabilidade Zero-Day no CLFS

Os especialistas da Kaspersky descobrem uma vulnerabilidade no CLFS sendo explorada por cibercriminosos.

Graças aos componentes do Sistema de Detecção de Comportamento e de Prevenção de Exploit, nossas soluções detectaram tentativas de explorar uma vulnerabilidade anteriormente desconhecida no Common Log File System (CLFS) — o subsistema de log dos sistemas operacionais Windows. Depois de investigar minuciosamente a falha, nossa equipe global de pesquisa e análise (GReAT) entrou em contato com a Microsoft e forneceu todas as descobertas. Os desenvolvedores designaram a vulnerabilidade como CVE-2023-28252 e a finalizaram as correções no dia 4 de abril de 2023, com a atualização do Patch Tuesday de abril. Aconselhamos a instalação de novas patches o mais rápido possível, porque a vulnerabilidade não está sendo explorada apenas por invasores, mas também em ataques de ransomware.

O que é a vulnerabilidade CVE-2023-28252?

CVE-2023-28252 pertence à classe de vulnerabilidades de elevação de privilégio. Para explorá-la, os invasores devem manipular um arquivo BLF para aumentar seus privilégios no sistema e poder continuar o ataque (portanto, precisam de acesso inicial com condições de acesso de usuário).

Como de costume, nosso site Securelist tem as informações técnicas, além de indicadores de comprometimento, mas os detalhes não estão sendo divulgados agora, pois podem ser usados ​​por outros cibercriminosos para realizar novos ataques. No entanto, nossos especialistas pretendem compartilhá-los em 20 de abril (ou por volta disso), data em que a maioria dos usuários terá instalado as patches.

Para que serve a vulnerabilidade CVE-2023-28252?

Ao contrário da maioria das vulnerabilidades de Zero-Day, a CVE-2023-28252 não está sendo usada em ataques APT. Nesse caso, a carga final entregue aos computadores das vítimas era uma nova variante do ransomware Nokoyawa. Mas depois de examinar o exploit, nossos especialistas concluíram que os invasores por trás dele também foram responsáveis ​​por criar vários outros semelhantes para brechas no mesmo CLFS. Na ocasião, vimos outras ferramentas também, incluindo a Cobalt Strike Beacon e o backdoor modular Pipemagic.

Como se manter protegido

Em primeiro lugar, recomendamos a instalação das atualizações de abril para o Windows. Em geral, para proteger sua infraestrutura contra ciberataques que se aproveitam de vulnerabilidades (tanto as conhecidas quanto as Zero-Day), você precisa proteger todos os computadores e servidores corporativos por meio de soluções de segurança confiáveis com proteção contra exploração de vulnerabilidade. Nossos produtos detectam automaticamente tentativas de ataque por meio da CVE-2023-28252, bem como todos os malwares usados ​​pelos cibercriminosos que criaram o exploit.

Dicas