Exploit para Windows roba claves y eleva privilegios

Kaspersky reporta un ataque que aprovecha una vulnerabilidad zero-day dentro del sistema de archivos de registro común (CLFS) de Microsoft Windows.

Un grupo de ciberdelincuentes usó un exploit desarrollado para diferentes versiones del sistema operativo, entre ellos Windows 11, y trató de implementar en el mismo el ransomware Nokoyama. Microsoft parcheó la vulnerabilidad, asignándole el identificador CVE-2023-28252.

Mientras que la mayoría de las vulnerabilidades descubiertas por Kaspersky son utilizadas por amenazas persistentes avanzadas (APTs), esta resultó ser explotada con fines de ciberdelincuencia por un sofisticado grupo que lleva a cabo ataques de ransomware. Dicho grupo de ciberdelincuentes se caracteriza por el aprovechamiento de vulnerabilidades del sistema de archivos de registro común (CLFS). Kaspersky ha descubierto al menos cinco exploits diferentes en ataques contra empresas minoristas y mayoristas de sectores tan diversos como el energético, manufacturero, sanitario o de desarrollo de software, entre muchos otros.

Microsoft ha asignado el identificador CVE-2023-28252 al nuevo zero-day descubierto. Se trata de una vulnerabilidad de elevación de privilegios del sistema de archivos de registro común que se desencadena a través de la manipulación de un archivo. Los analistas de Kaspersky descubrieron esta vulnerabilidad tras revisar intentos de ejecución de exploits de elevación de privilegios en servidores de Microsoft Windows de pymes de Oriente Medio y Norteamérica.

En concreto, Kaspersky detectó por primera vez CVE-2023-28252 en un ataque en el cual los cibercriminales trataron de implementar una versión más actual del ransomware Nokoyawa. Las variantes más antiguas de este malware resultaron ser simplemente versiones rebautizadas del ransomware JSWorm, pero en el tipo de ataque mencionado anteriormente la variante Nokoyawa era muy distinta, atendiendo al código fuente.

El exploit utilizado en el ataque se desarrolló para diferentes versiones y compilaciones de Windows, entre ellas Windows 11. Los atacantes usaron la vulnerabilidad CVE-2023-28252 para elevar privilegios y robar credenciales de la base de datos del administrador de cuentas de seguridad (SAM).

“Los grupos de ciberdelincuentes son cada vez más sofisticados y usan exploits zero-day en sus ataques. Antes era una herramienta de los actores de amenazas persistentes avanzadas (APT), pero ahora los ciberdelincuentes tienen recursos para adquirir zero-day y usarlos para sus fines. También hay desarrolladores de exploits dispuestos a colaborar en la creación de diferentes variantes. Es muy importante que las empresas descarguen el último parche de Microsoft lo antes posible y usen otros métodos de protección, como las soluciones EDR”, explica Boris Larin, analista principal de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).

Kaspersky recomienda actualizar Microsoft Windows tan pronto como sea posible y hacerlo con regularidad, como asimismo utilizar una solución de seguridad endpoint de confianza.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022