{"id":21130,"date":"2023-04-18T09:38:46","date_gmt":"2023-04-18T12:38:46","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21130"},"modified":"2023-04-24T17:06:32","modified_gmt":"2023-04-24T20:06:32","slug":"nokoyawa-zero-day-exploit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/nokoyawa-zero-day-exploit\/21130\/","title":{"rendered":"CVE-2023-28252: uma vulnerabilidade Zero-Day no CLFS"},"content":{"rendered":"<p>Gra\u00e7as aos componentes do Sistema de Detec\u00e7\u00e3o de Comportamento e de Preven\u00e7\u00e3o de Exploit, nossas solu\u00e7\u00f5es detectaram tentativas de explorar uma vulnerabilidade anteriormente desconhecida no Common Log File System (CLFS) \u2014 o subsistema de log dos sistemas operacionais Windows. Depois de investigar minuciosamente a falha, nossa equipe global de pesquisa e an\u00e1lise (GReAT) entrou em contato com a Microsoft e forneceu todas as descobertas. Os desenvolvedores designaram a vulnerabilidade como CVE-2023-28252 e a finalizaram as corre\u00e7\u00f5es no dia 4 de abril de 2023, com a atualiza\u00e7\u00e3o do Patch Tuesday de abril. Aconselhamos a instala\u00e7\u00e3o de novas patches o mais r\u00e1pido poss\u00edvel, porque a vulnerabilidade n\u00e3o est\u00e1 sendo explorada apenas por invasores, mas tamb\u00e9m em ataques de ransomware.<\/p>\n<h2>O que \u00e9 a vulnerabilidade CVE-2023-28252?<\/h2>\n<p>CVE-2023-28252 pertence \u00e0 classe de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">vulnerabilidades de eleva\u00e7\u00e3o de privil\u00e9gio<\/a>. Para explor\u00e1-la, os invasores devem manipular um arquivo BLF para aumentar seus privil\u00e9gios no sistema e poder continuar o ataque (portanto, precisam de acesso inicial com condi\u00e7\u00f5es de acesso de usu\u00e1rio).<\/p>\n<p>Como de costume, nosso site Securelist <a href=\"https:\/\/securelist.com\/nokoyawa-ransomware-attacks-with-windows-zero-day\/109483\/\" target=\"_blank\" rel=\"noopener\">tem as informa\u00e7\u00f5es t\u00e9cnicas<\/a>, al\u00e9m de indicadores de comprometimento, mas os detalhes n\u00e3o est\u00e3o sendo divulgados agora, pois podem ser usados \u200b\u200bpor outros cibercriminosos para realizar novos ataques. No entanto, nossos especialistas pretendem compartilh\u00e1-los em 20 de abril (ou por volta disso), data em que a maioria dos usu\u00e1rios ter\u00e1 instalado as patches.<\/p>\n<h2>Para que serve a vulnerabilidade CVE-2023-28252?<\/h2>\n<p>Ao contr\u00e1rio da maioria das vulnerabilidades de Zero-Day, a CVE-2023-28252 n\u00e3o est\u00e1 sendo usada em ataques APT. Nesse caso, a carga final entregue aos computadores das v\u00edtimas era uma nova variante do ransomware Nokoyawa. Mas depois de examinar o exploit, nossos especialistas conclu\u00edram que os invasores por tr\u00e1s dele tamb\u00e9m foram respons\u00e1veis \u200b\u200bpor criar v\u00e1rios outros semelhantes para brechas no mesmo CLFS. Na ocasi\u00e3o, vimos outras ferramentas tamb\u00e9m, incluindo a Cobalt Strike Beacon e o backdoor modular Pipemagic.<\/p>\n<h2>Como se manter protegido<\/h2>\n<p>Em primeiro lugar, recomendamos a instala\u00e7\u00e3o das atualiza\u00e7\u00f5es de abril para o Windows. Em geral, para proteger sua infraestrutura contra ciberataques que se aproveitam de vulnerabilidades (tanto as conhecidas quanto as Zero-Day), voc\u00ea precisa proteger todos os computadores e servidores corporativos por meio de <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00f5es de seguran\u00e7a confi\u00e1veis<\/a> com prote\u00e7\u00e3o contra explora\u00e7\u00e3o de vulnerabilidade. Nossos produtos detectam automaticamente tentativas de ataque por meio da CVE-2023-28252, bem como todos os malwares usados \u200b\u200bpelos cibercriminosos que criaram o exploit.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Os especialistas da Kaspersky descobrem uma vulnerabilidade no CLFS sendo explorada por cibercriminosos.<\/p>\n","protected":false},"author":2706,"featured_media":21154,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[72,83,267,230],"class_list":{"0":"post-21130","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-exploits","10":"tag-ransomware","11":"tag-vulnerabilidades","12":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nokoyawa-zero-day-exploit\/21130\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nokoyawa-zero-day-exploit\/25493\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/20926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/28102\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nokoyawa-zero-day-exploit\/25800\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/26204\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nokoyawa-zero-day-exploit\/28642\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nokoyawa-zero-day-exploit\/35070\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/47788\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nokoyawa-zero-day-exploit\/20439\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nokoyawa-zero-day-exploit\/29990\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nokoyawa-zero-day-exploit\/26120\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nokoyawa-zero-day-exploit\/31805\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nokoyawa-zero-day-exploit\/31492\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21130"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21130\/revisions"}],"predecessor-version":[{"id":21135,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21130\/revisions\/21135"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21154"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}