Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Vulnerabilidade zero-day no Microsoft Windows usada em ataques de ransomware

Vulnerabilidade zero-day no Microsoft Windows usada em ataques de ransomware
Share it:

Vulnerabilidade zero-day no Microsoft Windows usada em ataques de ransomware

Os peritos da Kaspersky descobriram um tipo de ciberataque que recorre a uma vulnerabilidade zero-day no Common Log File System (CLFS) da Microsoft. Um grupo de cibercriminosos utilizou um exploit desenvolvido para diferentes versões do sistema operativo Windows, incluindo o Windows 11, e tentou implementar o ransomware Nokoyawa. A Microsoft atribuiu a identificação CVE-2023-28252 a esta vulnerabilidade e corrigiu-a no âmbito da Patch Tuesday.

Apesar de a maioria das vulnerabilidades descobertas pela Kaspersky serem utilizadas por atacantes de Advanced Persistent Threat (APT), esta foi explorada para fins criminosos por um grupo sofisticado que efetua ataques de ransomware. Este grupo destaca-se pela exploração de vulnerabilidades do Common Log File System (CLFS). A Kaspersky já registou pelo menos cinco Exploits diferentes, utilizados em ataques aos setores de retalho e grossista, energia, indústria, cuidados de saúde, desenvolvimento de software, entre outras indústrias.

A Microsoft atribuiu a identificação CVE-2023-28252 a esta ameaça zero-day, que consiste numa vulnerabilidade de aumento de privilégios ao Common Log File System, desencadeada pela manipulação do formato de ficheiro utilizado por este subsistema. Os analistas da Kaspersky descobriram esta vulnerabilidade após a análise de tentativas de execução de exploits de aumento de privilégios em servidores Microsoft Windows em PMEs no Médio Oriente e na América do Norte.

A CVE-2023-28252 foi vista pela primeira vez pela Kaspersky num ataque em que os cibercriminosos tentaram implementar uma versão mais recente do ransomware Nokoyawa. As versões mais antigas deste ransomware eram variantes do ransomware JSWorm, mas no ataque acima mencionado a variante do Nokoyawa era bastante distinta em termos do código-fonte.

O exploit utilizado no ataque foi desenvolvido para suportar diferentes versões do sistema operativo Windows, incluindo o Windows 11. Os atacantes usaram a vulnerabilidade CVE-2023-28252 para aumentar os privilégios e roubar as credenciais da base de dados do Gestor de Contas de Segurança (SAM).
Nota de resgate de ataques do ransowamre Nokoyawa

"Os grupos de cibercriminalidade estão a tornar-se cada vez mais sofisticados, utilizando Exploits zero-day nos seus ataques. Anteriormente, eram uma ferramenta dos criminosos de APT, mas, agora, os atacantes têm recursos para adquirir Exploits zero-day e utilizá-los. Há também criadores de exploits dispostos a ajudá-los e a criar diferentes versões. É muito importante que as empresas descarreguem e apliquem o patch mais recente da Microsoft o mais rapidamente possível e utilizem outros métodos de proteção, como soluções EDR", afirmou Boris Larin, Investigador Principal de Segurança da Equipa Global de Investigação e Análise (GReAT) da Kaspersky.

Os produtos Kaspersky detetam e protegem contra a exploração da vulnerabilidade acima referida e malware relacionado.

Para proteger a sua organização contra ataques que exploram esta vulnerabilidade , os especialistas Kaspersky recomendam:
  • Atualize o seu Microsoft Windows o mais rapidamente possível e faça-o regularmente.
  • Utilize uma solução de segurança de endpoint fiável, como o Kaspersky Endpoint Security for Business, que está prepara para prevenir exploits. Além disso, deteta comportamentos anómalos e é um motor de remediação capaz de reverter ações maliciosas.
  • Instale soluções anti-APT e EDR, permitindo capacidades de descoberta e deteção de ameaças, investigação e remediação atempada de incidentes. Proporcione à sua equipa SOC o acesso às informações mais recentes sobre ameaças e dê-lhes regularmente formação profissional. Pode encontrar tudo no Kaspersky Expert Security Framework.
  • Além de uma proteção adequada dos endpoints, os serviços dedicados podem ajudar contra ataques de elevado perfil. O Kaspersky Managed Detection and Response permite identificar e parar os ataques nas suas fases iniciais, antes de os atacantes atingirem os seus objetivos.
Saiba mais sobre esta nova ameaça zero-day no Securelist.
Share it:

info

Post A Comment:

0 comments: