Una vulnerabilidad de día cero recientemente descubierta en el sistema de archivos de registro común (CLFS) de Microsoft, que se está explotando como parte de una cadena de ataque que entrega el ransomware Nokoyawa, se encuentra entre casi otros 100 problemas abordados por Microsoft en su actualización del martes de parches de abril de 2023, que cayó según lo previsto el 11 de abril.
El exploit de escalada de privilegios se desarrolló para múltiples versiones y versiones diferentes del sistema operativo (SO) Windows, incluido Windows 11. Fue descubierto en febrero de 2023 por tres investigadores, Boris Larin de Kaspersky, Genwei Jiang de Mandiant y Quan Jin de DBAPPSecurity WeBin Lab. , y se le ha asignado la designación CVE-2023-28252. Está clasificado como “Importante” en términos de gravedad y tiene una puntuación CVSS de 7,8.
A partir del 11 de abril, también se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) que mantiene la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos, lo que significa que tiene un impacto excepcional.
Kaspersky dijo que si bien la mayoría de las vulnerabilidades con las que se tropieza son utilizadas por actores de amenazas persistentes avanzadas (APT), CVE-2023-28252 se destaca porque está siendo explotada por ciberdelincuentes motivados financieramente, como Larin, investigador principal de seguridad en el equipo de investigación y análisis global (GReAT) de la empresa, observó.
“Los grupos delictivos cibernéticos se están volviendo cada vez más sofisticados y usan exploits de día cero en sus ataques”, dijo. “Anteriormente, eran principalmente una herramienta de los actores APT, pero ahora los ciberdelincuentes tienen los recursos para adquirir zero-days y usarlos de forma rutinaria en los ataques.
“También hay desarrolladores de exploits dispuestos a ayudarlos y desarrollar exploit tras exploit. Es muy importante que las empresas descarguen el último parche de Microsoft lo antes posible y utilicen otros métodos de protección, como las soluciones EDR”, agregó Larin.
En el incidente observado por Kaspersky, la pandilla Nokoyawa utilizó CVE-2023-28252 durante su cadena de ataque para elevar los privilegios y robar credenciales de la base de datos del Administrador de cuentas de seguridad (SAM).
Gina Geisel, gerente de marketing de productos de Automox, dijo: “Esta vulnerabilidad aprovecha el acceso al sistema existente para explotar activamente un dispositivo y es el resultado de cómo el controlador CLFS interactúa con los objetos en la memoria de un sistema. Para explotar esta vulnerabilidad con éxito, un mal actor necesitaría iniciar sesión y luego ejecutar un binario creado con fines maliciosos para elevar el nivel de privilegio. Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios del sistema.
“Con una solución oficial de Microsoft, Automox recomienda la implementación de parches dentro de las 24 horas, ya que este es un día cero que se explota activamente”, agregó.
Nueva cepa de ransomware
Bharat Jogi, director de investigación de vulnerabilidades y amenazas en Qualys, dijo: “[Nokoyawa] es una cepa relativamente nueva para la que existe información de código abierto que sugiere que posiblemente esté relacionada con el ransomware Hive, una de las familias de ransomware más notables de 2021 y vinculada a infracciones de más de 300 organizaciones en cuestión de solo unos meses. Si bien aún no está claro quién es el actor de amenazas exacto o el grupo APT que está utilizando Nokoyawa, se han observado objetivos en América del Sur y del Norte, regiones de Asia y PYMES en el Medio Oriente.
Jogi agregó: “Esta no es la primera vez que este controlador específico ha sido un objetivo atractivo para los actores de amenazas. En septiembre de 2022, Microsoft corrigió otra vulnerabilidad, CVE-2022-37969, que se sabía que se explotaba en la naturaleza, que afectaba a este mismo componente. CVE-2022-37969 fue aprovechado por un actor de amenazas desconocido para obtener privilegios elevados una vez que tuvieron un punto de apoyo en el sistema”.
Tenga en cuenta además que CVE-2022-37969 también fue descubierto y divulgado por Mandiant y DBAPPSecurity, aunque no está claro si los descubrimientos están relacionados o no con el mismo atacante.
Exceso de errores de RCE
La actualización del martes de parches de abril también contiene correcciones para siete vulnerabilidades críticas, con puntajes CVSS que van de 7.5 a 9.8. Si se explotan con éxito, todos conducen a la ejecución remota de código (RCE), por lo que deben abordarse como una prioridad. Son los siguientes:
Ninguna de estas vulnerabilidades se ha hecho pública anteriormente, y ninguna de ellas ha sido explotada aún en la naturaleza.
Explosión del pasado
Finalmente, también se destaca en la actualización de abril una nueva corrección para CVE-2013-3900, que es una vulnerabilidad RCE en la forma en que la función WinVerifyTrust maneja la verificación de firmas de Windows Authenticode para archivos ejecutables portátiles (PE).
Se puede explotar modificando un archivo ejecutable firmado existente e inyectando código malicioso en él sin invalidar su firma de certificación existente. Si se explota, un atacante podría tomar el control completo del sistema de destino.
Esta vulnerabilidad de 10 años se vuelve a publicar ahora para agregar las ediciones Server Core a la lista de productos afectados. Dustin Childs de Zero Day Initiative también señaló que CVE-2013-3900 ha sido explotado como parte de la cadena de ataque de 3CX, y dado que el parche es una solución opcional, la actualización también sirve para recordar a los equipos de seguridad que verifiquen que tienen lo abordó.