Microsoft ha rilasciato ieri sera le patch che correggono diverse vulnerabilità in Windows, tra cui una zero-day presente nel Common Log File System (CLFS). I ricercatori di Kaspersky hanno scoperto che il bug viene sfruttato per effettuare attacchi con il ransomware Nokoyawa. Gli utenti devono quindi scaricare e installare subito gli aggiornamenti tramite Windows Update.
Nokoyawa: attacco in corso
La vulnerabilità CVE-2023-28252 può essere sfruttata per ottenere privilegi SYSTEM, prendere il controllo del sistema e installare il ransomware Nokoyawa. CLFS è un log file subsystem introdotto con Windows Server 2003 R2/Vista e implementato nel driver clfs.sys
.
Il problema di sicurezza era dovuto alla scrittura “out-of-bounds” e sfruttato attraverso la manipolazione del file di log. Gli esperti di Kaspersky pubblicherà tutti i dettagli tecnici il 20 aprile per attendere l’installazione della patch da parte degli utenti. La software house russa evidenzia però che il CLFS è un componente piuttosto vulnerabile. Microsoft ha infatti rilasciato patch per 32 bug dal 2018 ad oggi.
Dopo aver ottenuto l’accesso al sistema, i cybercriminali effettuano il dump della chiave di registro HKEY_LOCAL_MACHINE\SAM
e usano un beacon di Cobalt Strike. Come payload finale viene installato il ransomware Nokoyawa. Un file JSON contiene i parametri di configurazione e l’elenco di file/directory da escludere durante la cifratura. Tutti i prodotti di Kaspersky rilevano e bloccano il malware.