Kaspersky, zero-day di Microsoft Windows usato negli attacchi del ransomware Nokoyawa

A febbraio, gli esperti di Kaspersky hanno scoperto un attacco che utilizzava una vulnerabilità zero-day nel Common Log File System (CLFS) di Microsoft. Un gruppo di criminali informatici ha utilizzato un exploit sviluppato per diverse versioni e build del sistema operativo Windows, tra cui Windows 11, e ha tentato di distribuire il ransomware Nokoyawa. L’attore delle minacce ha anche cercato di eseguire exploit simili di escalation dei privilegi in attacchi a diverse piccole e medie imprese in Medio Oriente e Nord America, e in precedenza nelle regioni asiatiche.

Mentre la maggior parte delle vulnerabilità scoperte da Kaspersky è utilizzata dalle APT, questa è invece sfruttata per scopi criminali da un gruppo specializzato che effettua attacchi ransomware e si distingue per l’utilizzo di exploit simili ma unici del Common Log File System (CLFS). Kaspersky ha visto almeno cinque diversi exploit di questo tipo: sono stati utilizzati in attacchi a diversi settori, tra cui vendita al dettaglio e all’ingrosso, energia, produzione, sanità, sviluppo di software.

Microsoft ha assegnato la CVE-2023-28252 allo zero-day scoperto. Si tratta della vulnerabilità di escalation dei privilegi del Common Log File Ststem, che viene attivata dalla modifica del formato dei file utilizzati da questo sottosistema. I ricercatori di Kaspersky hanno scoperto la vulnerabilità a febbraio, a seguito di ulteriori controlli su una serie di tentativi di esecuzione di exploit simili di escalatioin dei privilegi su server Microsoft Windows appartenenti a diverse piccole e medie imprese nelle regioni del Medio Oriente e del Nord America.

CVE-2023-28252 è stata individuata per la prima volta da Kaspersky in un attacco in cui i criminali informatici hanno provato a distribuire una versione più recente del ransomware Nokoyawa. Le vecchie versioni di questo ransomware erano solo varianti “ribrandizzate” del ransomware JSWorm, ma nell’attacco descritto, la variante Nokoyawa era ben distinta da JSWorm dal punto di vista della codifica.

L’exploit utilizzato nell’attacco è stato sviluppato per supportare diverse versioni e build del sistema operativo Windows, tra cui Windows 11. Gli attaccanti hanno utilizzato la vulnerabilità CVE-2023-28252 per effettuare l’eascalation dei privilegi e rubare le credenziali dal database Security Account Manager (SAM).

“I gruppi di criminali informatici stanno diventando sempre più sofisticati nell’utilizzare gli exploit zero-day nei loro attacchi. In precedenza si trattava principalmente di uno strumento utilizzato dagli autori delle Advanced Persistent Threat (APT), ma ora i criminali informatici hanno le risorse per acquisire gli zero-day e utilizzarli abitualmente negli attacchi. Ci sono anche sviluppatori di exploit disposti ad aiutarli e a sviluppare exploit su exploit. È molto importante che le aziende scarichino l’ultima patch Microsoft il prima possibile e utilizzino altri metodi di protezione, come le soluzioni EDR”, ha commentato Boris Larin, Lead Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.