Благодаря срабатыванию поведенческого движка (Behavioral Detection Engine) и компонента для предотвращения эксплуатации уязвимостей (Exploit Prevention) наши решения обнаружили попытку эксплуатации ранее неизвестной уязвимости в Common Log File System (CLFS), подсистеме операционных систем Windows, служащей для логирования. Тщательно исследовав эксплойт, эксперты нашего Глобального центра исследований и анализа угроз (GREAT) связались с Microsoft и предоставили всю необходимую информацию. Разработчики присвоили уязвимости номер CVE-2023-28252 и 11.04.2023 года закрыли уязвимость с выпуском апрельского вторничного обновления. Мы рекомендуем как можно скорее установить свежие патчи, поскольку уязвимость не просто активно эксплуатируется злоумышленниками — она применяется в атаках с использованием шифровальщиков-вымогателей.
Что за уязвимость CVE-2023-28252
CVE-2023-28252 относится к классу уязвимостей эскалации привилегий. Для ее эксплуатации злоумышленникам необходима возможность манипуляций с файлом типа .blf (иными словами, требуется иметь доступ к системе с правами пользователя). В результате они смогут повысить свои привилегии для продолжения атаки.
Как обычно, технические подробности, наряду с индикаторами компрометации, можно найти в посте на сайте Securelist. В данный момент раскрывать детали эксплуатации уязвимости CVE-2023-28252 не представляется возможным, поскольку они могут быть использованы другими злоумышленниками для организации новых атак. Однако наши эксперты обещают поделиться ими 20 апреля (или около того), после того как большинство пользователей успешно установит патчи.
Где используется уязвимость CVE-2023-28252
В отличие от большинства уязвимостей нулевого дня, CVE-2023-28252 используется не для APT-атак. В данном случае финальной вредоносной нагрузкой, доставляемой на компьютеры жертв, был новый вариант шифровальщика-вымогателя Nokoyawa. Впрочем, исследовав эксплойт, наши эксперты пришли к выводу, что использовавшие его злоумышленники также ответственны за создание ряда более ранних подобных эксплойтов для уязвимостей в той же CLFS. В атаках с их применением мы видели и другие инструменты — включая Cobalt Strike BEACON и модульный бэкдор Pipemagic.
Как оставаться в безопасности
Первым делом рекомендуется установить апрельские обновления операционной системы Windows. В целом же, для того чтобы обезопасить свою инфраструктуру от атак с использованием уязвимостей (как известных, так и нулевого дня), необходимо защитить все рабочие компьютеры и серверы надежными защитными решениями с технологиями предотвращения эксплуатации уязвимостей. Наши продукты автоматически выявляют как попытки атак через CVE-2023-28252, так и зловредов, которыми пользуются создавшие эксплойт злоумышленники.