vulnerabilidades

CVE-2023-28252: uma vulnerabilidade Zero-Day no CLFS

Os especialistas da Kaspersky descobrem uma vulnerabilidade no CLFS sendo explorada por cibercriminosos.

Kaspersky Team
18 abr 2023

Graças aos componentes do Sistema de Detecção de Comportamento e de Prevenção de Exploit, nossas soluções detectaram tentativas de explorar uma vulnerabilidade anteriormente desconhecida no Common Log File System (CLFS) — o subsistema de log dos sistemas operacionais Windows. Depois de investigar minuciosamente a falha, nossa equipe global de pesquisa e análise (GReAT) entrou em contato com a Microsoft e forneceu todas as descobertas. Os desenvolvedores designaram a vulnerabilidade como CVE-2023-28252 e a finalizaram as correções no dia 4 de abril de 2023, com a atualização do Patch Tuesday de abril. Aconselhamos a instalação de novas patches o mais rápido possível, porque a vulnerabilidade não está sendo explorada apenas por invasores, mas também em ataques de ransomware.

O que é a vulnerabilidade CVE-2023-28252?

CVE-2023-28252 pertence à classe de vulnerabilidades de elevação de privilégio. Para explorá-la, os invasores devem manipular um arquivo BLF para aumentar seus privilégios no sistema e poder continuar o ataque (portanto, precisam de acesso inicial com condições de acesso de usuário).

Como de costume, nosso site Securelist tem as informações técnicas, além de indicadores de comprometimento, mas os detalhes não estão sendo divulgados agora, pois podem ser usados por outros cibercriminosos para realizar novos ataques. No entanto, nossos especialistas pretendem compartilhá-los em 20 de abril (ou por volta disso), data em que a maioria dos usuários terá instalado as patches.

Para que serve a vulnerabilidade CVE-2023-28252?

Ao contrário da maioria das vulnerabilidades de Zero-Day, a CVE-2023-28252 não está sendo usada em ataques APT. Nesse caso, a carga final entregue aos computadores das vítimas era uma nova variante do ransomware Nokoyawa. Mas depois de examinar o exploit, nossos especialistas concluíram que os invasores por trás dele também foram responsáveis por criar vários outros semelhantes para brechas no mesmo CLFS. Na ocasião, vimos outras ferramentas também, incluindo a Cobalt Strike Beacon e o backdoor modular Pipemagic.

Como se manter protegido

Em primeiro lugar, recomendamos a instalação das atualizações de abril para o Windows. Em geral, para proteger sua infraestrutura contra ciberataques que se aproveitam de vulnerabilidades (tanto as conhecidas quanto as Zero-Day), você precisa proteger todos os computadores e servidores corporativos por meio de soluções de segurança confiáveis com proteção contra exploração de vulnerabilidade. Nossos produtos detectam automaticamente tentativas de ataque por meio da CVE-2023-28252, bem como todos os malwares usados pelos cibercriminosos que criaram o exploit.

Brasil é o país com mais ataques de phishing por WhatsAp em 2022

Ataques de phishing estão com forte crescimento e o total de ataques é o dobro da quantidade registrada em 2021

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

CVE-2023-28252: uma vulnerabilidade Zero-Day no CLFS

O que é a vulnerabilidade CVE-2023-28252?

Para que serve a vulnerabilidade CVE-2023-28252?

Como se manter protegido

KeyTrap: como desativar um servidor DNS com um único pacote

Vulnerabilidade da biblioteca Glibc é divulgada

Brasil é o país com mais ataques de phishing por WhatsAp em 2022

Dicas

Anunciantes compartilhando seus dados com… agências de inteligência

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog