Nokoyawa fidye yazılımını dağıtan bir saldırı zincirinin parçası olarak istismar edilen Microsoft Ortak Günlük Dosya Sisteminde (CLFS) yeni keşfedilen sıfır gün güvenlik açığı, Microsoft tarafından Nisan 2023 Salı Yaması güncellemesinde ele alınan yaklaşık 100 diğer sorun arasında yer alıyor. 11 Nisan’da programa düştü.
Ayrıcalık yükseltme istismarı, Windows 11 dahil olmak üzere Windows işletim sisteminin (OS) birden çok farklı sürümü ve derlemesi için geliştirildi. Şubat 2023’te üç araştırmacı, Kaspersky’den Boris Larin, Mandiant’tan Genwei Jiang ve DBAPPSecurity WeBin Lab’den Quan Jin tarafından keşfedildi. ve CVE-2023-28252 olarak adlandırılmıştır. Ciddiyet açısından ‘Önemli’ olarak derecelendirilmiştir ve 7.8 CVSS puanı taşır.
11 Nisan itibariyle, Amerika Birleşik Devletleri’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yürütülen Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna da eklendi – bu da olağanüstü etkili olduğu anlamına geliyor.
Kaspersky, rastladığı güvenlik açıklarının çoğu gelişmiş kalıcı tehdit (APT) aktörleri tarafından kullanılsa da CVE-2023-28252’nin, CVE-2023-28252’nin CVE-2023-28252’nin önde gelen güvenlik araştırmacısı olan Larin gibi mali amaçlı siber suçlular tarafından kullanılması nedeniyle öne çıktığını söyledi. firmanın Küresel Araştırma ve Analiz Ekibi (GReAT) gözlemledi.
“Siber suç grupları, saldırılarında sıfırıncı gün istismarlarını kullanarak giderek daha karmaşık hale geliyor. Önceden, öncelikle APT aktörlerinin bir aracıydılar, ancak şimdi siber suçlular, sıfır gün elde etmek ve bunları saldırılarda rutin olarak kullanmak için kaynaklara sahipler” dedi.
“Onlara yardım etmeye ve istismar üstüne istismar geliştirmeye istekli istismar geliştiricileri de var. İşletmelerin Microsoft’tan en son yamayı mümkün olan en kısa sürede indirmeleri ve EDR çözümleri gibi diğer koruma yöntemlerini kullanmaları çok önemli” diye ekledi Larin.
Kaspersky tarafından gözlemlenen olayda, CVE-2023-28252 Nokoyawa çetesi tarafından saldırı zinciri sırasında ayrıcalıkları yükseltmek ve Güvenlik Hesabı Yöneticisi (SAM) veritabanından kimlik bilgilerini çalmak için kullanıldı.
Automox’ta ürün pazarlama müdürü Gina Geisel şunları söyledi: “Bu güvenlik açığı, bir cihazdan aktif olarak yararlanmak için mevcut sistem erişiminden yararlanıyor ve CLFS sürücüsünün bir sistemdeki bellekteki nesnelerle nasıl etkileşime girdiğinin bir sonucudur. Bu güvenlik açığından başarılı bir şekilde yararlanmak için, kötü bir aktörün oturum açması ve ardından ayrıcalık düzeyini yükseltmek için kötü amaçlarla oluşturulmuş bir ikili dosyayı çalıştırması gerekir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan daha sonra sistem ayrıcalıkları elde edebilir.
“Microsoft’tan resmi bir düzeltme ile Automox, bu aktif olarak kullanılan bir sıfır gün olduğundan 24 saat içinde yama dağıtımını öneriyor” diye ekledi.
Yeni fidye yazılımı türü
Qualys güvenlik açığı ve tehdit araştırması direktörü Bharat Jogi şunları söyledi: “[Nokoyawa] 2021’in en dikkate değer fidye yazılımı ailelerinden biri olan ve yalnızca birkaç ay içinde 300’den fazla kuruluşun ihlalleriyle bağlantılı olan Hive fidye yazılımıyla ilgili olabileceğini öne süren bazı açık kaynaklı istihbaratların bulunduğu nispeten yeni bir türdür. Kimin Nokoyawa’yı kullandığı kesin olarak bilinmemekle birlikte, Güney ve Kuzey Amerika’da, Asya’daki bölgelerde ve Orta Doğu’da KOBİ’lerde hedefler gözlemlendi.
Jogi şunları ekledi: “Bu, belirli bir sürücünün tehdit aktörleri için ilk kez çekici bir hedef haline gelmesi değil. Eylül 2022’de Microsoft, aynı bileşeni etkileyen başka bir güvenlik açığını – vahşi ortamda istismar edildiği bilinen CVE-2022-37969 – düzeltti. CVE-2022-37969, bilinmeyen bir tehdit aktörü tarafından sistemde bir dayanak oluşturduktan sonra yükseltilmiş ayrıcalıklar elde etmek için kullanıldı.”
Ek olarak, CVE-2022-37969’un da Mandiant ve DBAPPSecurity tarafından ortaya çıkarıldığını ve ifşa edildiğini unutmayın, ancak keşiflerin aynı saldırganla ilgili olup olmadığı net değildir.
RCE böcek bolluğu
Nisan Yaması Salı güncellemesi ayrıca CVSS puanları 7,5 ile 9,8 arasında değişen yedi kritik güvenlik açığı için düzeltmeler içerir. Başarılı bir şekilde yararlanılırsa, tümü uzaktan kod yürütmeye (RCE) yol açar, bu nedenle öncelik olarak ele alınmalıdır. Bunlar aşağıdaki gibidir:
Bu güvenlik açıklarının hiçbiri daha önce halka açıklanmadı ve henüz hiçbiri vahşi ortamda kullanılmadı.
Geçmişten patlama
Son olarak, Nisan güncellemesinde WinVerifyTrust işlevinin taşınabilir yürütülebilir (PE) dosyalar için Windows Authenticode imza doğrulamasını nasıl işlediğine ilişkin bir RCE güvenlik açığı olan CVE-2013-3900 için yeni bir düzeltme de dikkat çekiyor.
Mevcut bir imzalı yürütülebilir dosyayı değiştirerek ve mevcut sertifika imzasını geçersiz kılmadan dosyaya kötü amaçlı kod enjekte ederek istismar edilebilir. İstismar edilirse, bir saldırgan hedef sistemin tüm kontrolünü ele geçirebilir.
Bu 10 yıllık güvenlik açığı, etkilenen ürünler listesine Sunucu Çekirdeği sürümlerini eklemek için şimdi yeniden yayınlanıyor. Zero Day Initiative’den Dustin Childs ayrıca, CVE-2013-3900’ün 3CX saldırı zincirinin bir parçası olarak istismar edildiğini ve yamanın isteğe bağlı bir düzeltme olduğundan, güncelleme aynı zamanda güvenlik ekiplerine sahip olduklarını kontrol etmelerini hatırlatma işlevi görüyor. hitap etti.