En février, les experts de Kaspersky ont découvert une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. Un groupe de cybercriminels a utilisé un exploit développé pour s’adapter à différentes versions du système d’exploitation Windows, y compris Windows 11, et a tenté de déployer le ransomware Nokoyawa par ce biais. Microsoft a attribué la CVE-2023-28252 à cette vulnérabilité et l’a corrigée hier dans le cadre du Patch Tuesday. L’acteur de la menace a également tenté d’exécuter des exploits similaires d’élévation de privilèges dans des attaques contre de petites et moyennes entreprises au Moyen-Orient, en Amérique du Nord, et précédemment en Asie.
Tribune – Alors que la plupart des vulnérabilités découvertes par Kaspersky sont exploitées par des groupe APT, celle-ci s’est avérée l’être à des fins cybercriminelles par un groupe sophistiqué menant des attaques par ransomware. Ce groupe se distingue par l’utilisation d’exploits similaires mais uniques du Common Log File System (CLFS) – Kaspersky en a relevé au moins cinq. Ils ont été utilisés dans des attaques ciblant le secteur du commerce de détail et de gros, de l’énergie, de l’industrie manufacturière, des soins de santé, et du développement de logiciels, entre autres secteurs.
Microsoft a attribué CVE-2023-28252 au zero-day récemment découvert. Il s’agit d’une vulnérabilité d’élévation de privilèges du Common Log File System, qui est déclenchée par la manipulation du format de fichier utilisé par ce système. Les chercheurs de Kaspersky ont découvert cette vulnérabilité en février en procédant à des vérifications supplémentaires sur un certain nombre de tentatives d’exécution d’exploits similaires d’élévation de privilèges sur des serveurs Microsoft Windows appartenant à différentes PME localisées au Moyen-Orient et en Amérique du Nord.
CVE-2023-28252 a été repéré pour la première fois par Kaspersky lors d’une attaque au cours de laquelle des cybercriminels ont tenté de déployer une nouvelle version du ransomware Nokoyawa. Les anciennes variantes de ce ransomware n’étaient que des variantes revisitées du ransomware JSWorm, mais dans l’attaque citée ici, la variante Nokoyawa est très différente de JSWorm en termes de code base.
L’exploit utilisé dans l’attaque a été développé pour prendre en charge différentes versions du système d’exploitation Windows, y compris Windows 11. Les attaquants ont utilisé la vulnérabilité CVE-2023-28252 pour élever les privilèges et voler des informations d’identification dans la base de données SAM (Security Account Manager).
« Les groupes de cybercriminels perfectionnent leurs attaques en utilisant des exploits zero-day dans leurs attaques. Auparavant, il s’agissait principalement d’un outil des acteurs des menaces persistantes avancées (APT), mais aujourd’hui les cybercriminels ont les ressources nécessaires pour avoir accès aux zero-day et les utiliser régulièrement dans leurs attaques. Des développeurs d’exploits sont également prêts à participer à l’effort en mettant au point un exploit après l’autre. Il est très important que les entreprises téléchargent le dernier correctif de Microsoft dès que possible et utilisent d’autres méthodes de protection, telles que les solutions EDR », a déclaré Boris Larin, chercheur principal en sécurité au sein de l’équipe Global Research & Analysis Team (GReAT).
Les produits Kaspersky détectent les vulnérabilités et protègent contre leur exploitation et des logiciels malveillants associés.
Pour en savoir plus sur ce nouveau zero-day, consultez Securelist. Des informations supplémentaires seront communiquées neuf jours après le Patch Tuesday d’avril (11/04), afin que les entreprises aient le temps de corriger leurs systèmes.
Pour protéger votre organisation contre les attaques qui exploitent la vulnérabilité décrite ici, les experts de Kaspersky font les recommandations suivantes :
-
Mettez à jour votre système Microsoft Windows dès que possible et faites-le régulièrement.
-
Utilisez une solution de sécurité fiable pour les points d’accès qui est dotée de fonctions de prévention des exploits, de détection des comportements et d’un moteur de remédiation capable d’annuler les actions malveillantes.
-
Installer des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l’investigation et la remédiation rapide des incidents. Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces et formez-la régulièrement en ayant recours à une formation professionnelle..
En plus d’une bonne protection des terminaux, le recours aux services dédiés peut aider à lutter contre les attaques les plus médiatisées.