Microsoft исправила уязвимость нулевого дня в общей файловой системе журналов Windows (CLFS), которую киберпреступники активно используют для повышения привилегий и развертывания полезных нагрузок программ-вымогателей Nokoyawa .
В свете продолжающейся эксплуатации CISA также добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей ( KEV ), приказав агентствам Федеральной гражданской исполнительной власти (FCEB) защитить свои системы от нее до 2 мая.
Уязвимость CVE-2023-28252 была обнаружена специалистами из Mandiant и DBAPPSecurity. Ошибка влияет на все поддерживаемые серверные и клиентские версии Windows и может быть использована локальным злоумышленникам в атаках низкой сложности без вмешательства пользователя.
Успешная эксплуатация позволяет киберпреступнику получить системные привилегии и полностью скомпрометировать целевые системы Windows. Microsoft исправила эту и 96 других ошибок безопасности в рамках вторника исправлений , включая 45 уязвимостей удаленного выполнения кода.
Исследователи безопасности “Лаборатории Касперского” из группы GReAT заявили , что уязвимость CVE-2023-28252 используется в атаках программ-вымогателей Nokoyawa.
Специалисты обнаружили уязвимость в феврале в результате дополнительных проверок ряда попыток выполнения аналогичных эксплойтов повышения привилегий на серверах Microsoft Windows, принадлежащих различным предприятиям малого и среднего бизнеса в ближневосточном и североамериканском регионах.
По данным “Лаборатории Касперского”, группа вымогателей Nokoyawa с июня 2022 года использовала как минимум еще 5 эксплойтов CLFS для атак на несколько отраслей, в том числе розничной и оптовой торговли, энергетики, производства, здравоохранения и разработки ПО.
Программа-вымогатель Nokoyawa появилась в феврале 2022 года как штамм, способный атаковать 64-разрядные системы на базе Windows в атаках с двойным вымогательством, когда злоумышленники также крадут конфиденциальные файлы из скомпрометированных сетей и угрожают выложить их в сеть, если не будет выплачен выкуп.
Изначально код Nokoyawa был схож с кодом программы-вымогателя JSWorm (Nemty) , но позже был переписан на Rust. Исследователи заявили, что ранние варианты Nokoyawa были просто “ребрендингом” вариантов программы-вымогателя JSWorm. В последних атаках киберпреступники использовали более новую версию Nokoyawa, которая сильно отличается от кодовой базы JSWorm.