Microsoft a corrigé une vulnérabilité zero-day dans le Windows Common Log File System (CLFS), activement exploitée par les cybercriminels pour élever les privilèges et déployer les charges utiles du rançongiciel Nokoyawa.
À la lumière de son exploitation en cours, la CISA a également ajouté le jour zéro Windows CVE-2023-28252 à son catalogue de vulnérabilités exploitées connues aujourd’hui, ordonnant aux agences du Federal Civilian Executive Branch (FCEB) de sécuriser leurs systèmes contre lui d’ici le 2 mai.
Suivie sous le nom de CVE-2023-28252, cette faille de sécurité CLFS a été découverte par Genwei Jiang de Mandiant et Quan Jin du WeBin Lab de DBAPPSecurity.
Il affecte toutes les versions de serveur et de client Windows prises en charge et peut être exploité par des attaquants locaux dans des attaques de faible complexité sans interaction de l’utilisateur.
Une exploitation réussie permet aux pirates d’obtenir des privilèges SYSTEM et de compromettre entièrement les systèmes Windows ciblés.
Microsoft a corrigé ce bug de jour zéro et 96 autres bogues de sécurité dans le cadre du Patch Tuesday de ce mois-ci, dont 45 vulnérabilités d’exécution de code à distance.
Exploité dans des attaques de rançongiciels
Les chercheurs en sécurité de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky ont également récemment découvert que la faille CVE-2023-28252 était exploitée dans les attaques de ransomware Nokoyawa.
« Les chercheurs de Kaspersky ont découvert la vulnérabilité en février à la suite de vérifications supplémentaires d’un certain nombre de tentatives d’exécution d’exploits d’élévation de privilèges similaires sur des serveurs Microsoft Windows appartenant à différentes petites et moyennes entreprises des régions du Moyen-Orient et d’Amérique du Nord », a déclaré le a déclaré la société dans un communiqué de presse.
« CVE-2023-28252 a été repéré pour la première fois par Kaspersky lors d’une attaque au cours de laquelle des cybercriminels ont tenté de déployer une version plus récente du rançongiciel Nokoyawa. »
Selon Kaspersky, le gang de rançongiciels Nokoyawa a utilisé d’autres exploits ciblant le pilote Common Log File System (CLFS) depuis juin 2022, avec des caractéristiques similaires mais distinctes, les reliant tous à un seul développeur d’exploits.
Le groupe a utilisé au moins cinq autres exploits CLFS pour cibler plusieurs secteurs verticaux, y compris, mais sans s’y limiter, la vente au détail et en gros, l’énergie, la fabrication, la santé et le développement de logiciels.
Redmond a corrigé au moins 32 vulnérabilités locales d’escalade de privilèges dans le pilote Windows CLFS depuis 2018, dont trois (CVE-2022-24521, CVE-2022-37969 et CVE-2023-23376) également exploitées à l’état sauvage en tant que zéro- jours, selon Kaspersky.
« Les groupes de cybercriminalité deviennent de plus en plus sophistiqués en utilisant des exploits zero-day dans leurs attaques », a déclaré Boris Larin, chercheur principal en sécurité.
« Auparavant, il s’agissait principalement d’un outil d’acteurs avancés de la menace persistante (APT), mais désormais, les cybercriminels ont les ressources nécessaires pour acquérir des zero-days et les utiliser régulièrement dans des attaques. »
Évolution des rançongiciels
Le rançongiciel Nokoyawa est apparu en février 2022 en tant que souche capable de cibler les systèmes Windows 64 bits dans des attaques à double extorsion, où les acteurs de la menace volent également des fichiers sensibles sur des réseaux compromis et menacent de les divulguer en ligne à moins qu’une rançon ne soit payée.
Nokoyawa partage du code avec les rançongiciels JSWorm, Karma et Nemty, et il a été réécrit en Rust à partir de septembre 2022, en passant de la version initiale du rançongiciel Nokoyawa, développée à l’aide du langage de programmation C.
« Les premières variantes de Nokoyawa n’étaient que des variantes » rebaptisées « du rançongiciel JSWorm, dont nous avons déjà parlé », a déclaré Larin dans le rapport d’aujourd’hui.
« Dans cette attaque, les cybercriminels ont utilisé une version plus récente de Nokoyawa qui est assez distincte de la base de code JSWorm. »