Малый и средний бизнес в Северной Америке и на Ближнем Востоке стал жертвой 0day-уязвимости Windows

Microsoft исправила уязвимость нулевого дня в общей файловой системе журналов Windows (CLFS), которую киберпреступники активно используют для повышения привилегий и развертывания полезных нагрузок программ-вымогателей Nokoyawa .

В свете продолжающейся эксплуатации CISA также добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей ( KEV ), приказав агентствам Федеральной гражданской исполнительной власти (FCEB) защитить свои системы от нее до 2 мая.

Уязвимость CVE-2023-28252 была обнаружена специалистами из Mandiant и DBAPPSecurity. Ошибка влияет на все поддерживаемые серверные и клиентские версии Windows и может быть использована локальным злоумышленникам в атаках низкой сложности без вмешательства пользователя.

Успешная эксплуатация позволяет киберпреступнику получить системные привилегии и полностью скомпрометировать целевые системы Windows. Microsoft исправила эту и 96 других ошибок безопасности в рамках вторника исправлений , включая 45 уязвимостей удаленного выполнения кода.

Исследователи безопасности «Лаборатории Касперского» из группы GReAT заявили , что уязвимость CVE-2023-28252 используется в атаках программ-вымогателей Nokoyawa.

Специалисты обнаружили уязвимость в феврале в результате дополнительных проверок ряда попыток выполнения аналогичных эксплойтов повышения привилегий на серверах Microsoft Windows, принадлежащих различным предприятиям малого и среднего бизнеса в ближневосточном и североамериканском регионах.

По данным «Лаборатории Касперского», группа вымогателей Nokoyawa с июня 2022 года использовала как минимум еще 5 эксплойтов CLFS для атак на несколько отраслей, в том числе розничной и оптовой торговли, энергетики, производства, здравоохранения и разработки ПО.

Программа-вымогатель Nokoyawa появилась в феврале 2022 года как штамм, способный атаковать 64-разрядные системы на базе Windows в атаках с двойным вымогательством, когда злоумышленники также крадут конфиденциальные файлы из скомпрометированных сетей и угрожают выложить их в сеть, если не будет выплачен выкуп.

Изначально код Nokoyawa был схож с кодом программы-вымогателя JSWorm (Nemty) , но позже был переписан на Rust. Исследователи заявили, что ранние варианты Nokoyawa были просто «ребрендингом» вариантов программы-вымогателя JSWorm. В последних атаках киберпреступники использовали более новую версию Nokoyawa, которая сильно отличается от кодовой базы JSWorm.