Cibercriminosos aproveitam vulnerabilidade zero-day no Microsoft Windows em ataques de ransomware

Foi descoberto um novo tipo de ciberataque que recorre à vulnerabilidade zero-day no Common Log File Systems da Microsoft (CLFS).

Neste caso, o grupo recorreu a um exploit desenvolvido para diferentes versões do sistema Windows para tentar implementar o ransomware Nokoyawa. 

Este grupo de cibercriminosos recorre, em particular, à exploração de vulnerabilidades do CLFS.

A Microsoft atribuiu a identificação CVE-2023-28252 a esta ameaça zero-day, desencadeada pela manipulação do formato de ficheiro utilizado pelo Common Log File System. Esta ameaça foi identificada pela primeira vez pela Kaspersky quando os cibercriminosos tentaram implementar uma versão mais recente do ransomware Nokoyawa. Os analistas da empresa de cibersegurança detetaram a vulnerabilidade após a análise de tentativas de execução de exploits de aumento de privilégios, nomeadamente em servidores Microsoft Windows em pequenas e médias empresas localizadas na América do Norte e no Médio Oriente.

Neste caso, os cibercriminosos utilizaram esta vulnerabilidade para aumentar os privilégios e, desta forma, roubar as credenciais da base de dados do Gestor de Contas de Segurança.

“Os grupos de cibercriminalidade estão a tornar-se cada vez mais sofisticados, utilizando Exploits zero-day nos seus ataques. Anteriormente, eram uma ferramenta dos criminosos de APT, mas, agora, os atacantes têm recursos para adquirir Exploits zero-day e utilizá-los. Há também criadores de exploits dispostos a ajudá-los e a criar diferentes versões”, alerta Boris Larin, Investigador Principal de Segurança da Equipa Global de Investigação e Análise da Kaspersky.

De forma a proteger as organizações contra este tipo de ataques, a organização aconselha:

• Atualizar o Microsoft Windows rápida e regularmente;
• Utilizar uma solução de segurança de endpoint fiável, preparada para prevenir exploits;
• Instalar soluções anti-APT e EDR, permitindo capacidades de descoberta e deteção de ameaças, investigação e remediação atempada de incidentes;
• O Kaspersky Managed Detection and Response permite identificar e parar os ataques nas suas fases iniciais, antes de os atacantes atingirem os seus objetivos.