Im Februar dieses Jahres entdeckten Kaspersky-Experten einen Angriff, der eine Zero-Day-Schwachstelle im Microsoft Common Log File System (CLFS) ausnutzte. Eine cyberkriminelle Gruppe nutzte einen Exploit, der für verschiedene Versionen und Builds von Windows-Betriebssystemen, einschließlich Windows 11, entwickelt wurde, und versuchte mit damit die Nokoyawa-Ransomware bereitzustellen. Microsoft listet die Schwachstelle als CVE-2023-28252 und hat diese gestern im Rahmen des Patch Tuesday gepatcht.
Der Bedrohungsakteur versuchte zudem bei Angriffen auf diverse kleine und mittelständische Unternehmen im Nahen Osten, in Nordamerika und zuvor in asiatischen Regionen, ähnliche Exploits zur Erhöhung von Berechtigungen auszunutzen.
Während die meisten der von Kaspersky entdeckten Schwachstellen von APTs verwendet werden, wurde die jetzt entdeckte Schwachstelle von einer Gruppe, die Ransomware-Angriffe durchführt, für cyberkriminelle Aktivitäten eingesetzt. Die Cyberkriminellen zeichnen sich durch die Verwendung ähnlicher, aber einzigartiger Common-Log-File-System (CLFS)-Exploits aus. Kaspersky hat bereits fünf verschiedene Exploits dieser Art gesehen. Sie wurden unter anderem bei Angriffen auf Einzel- und Großhandel, Energie, Fertigung, Gesundheitswesen und Softwareentwicklung eingesetzt.
Bei der von Microsoft als CVE-2023-28252 bezeichneten Schwachstelle handelt es sich um einen CLFS-Exploit zur Erhöhung von Berechtigungen, die durch die Manipulation des von diesem Subsystem verwendeten Dateiformats ausgelöst wird. Experten entdeckten die Schwachstelle im Februar, als sie eine Reihe von Angriffen analysierten, bei denen ähnliche Exploits zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern ausgeführt wurden. Die betroffenen Server gehören verschiedenen kleinen und mittleren Unternehmen im Nahen Osten und in Nordamerika.
Kaspersky entdeckte CVE-2023-28252 erstmals bei einem Angriff, bei dem Cyberkriminelle versuchten, eine neuere Version der Nokoyawa-Ransomware einzusetzen. Bei den älteren Varianten dieser Ransomware handelte es sich bisher um „umbenannte“ Varianten der JSWorm-Ransomware. Die nun entdeckte Nokoyawa-Variante in den oben erwähnten Angriffen unterscheidet sich jedoch in der Codebasis deutlich von JSWorm.
Der bei dem Angriff verwendete Exploit wurde entwickelt, um verschiedene Versionen und Builds von Windows-Betriebssystemen, einschließlich Windows 11, auszunutzen. Angreifer nutzten die Schwachstelle CVE-2023-28252, um Berechtigungen zu erhöhen und Anmeldeinformationen aus der Security-Account-Manager (SAM)-Datenbank zu stehlen.
„Cyberkriminelle Gruppen agieren immer ausgefeilter, indem sie bei ihren Angriffen Zero-Day-Exploits einsetzen“, erklärt Boris Larin, Lead Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Früher waren Exploits in erster Linie ein Werkzeug von Advanced Persistent Threat Actors (APTs), aber nun haben auch „gewöhnliche“ Cyberkriminelle die Ressourcen, um Zero-Days zu erwerben und sie routinemäßig für Angriffe einzusetzen. Es gibt Exploit-Entwickler, die bereit sind, ihnen dabei zu helfen und Exploits zu entwickeln. Unternehmen müssen den neuesten Patch von Microsoft so schnell wie möglich einspielen und zusätzliche Schutzmethoden wie EDR-Lösungen verwenden.“
Kaspersky-Produkte erkennen und schützen vor der Ausnutzung der oben genannten Schwachstelle und verwandter Malware.
Empfehlungen zum Schutz vor dem Exploit
- Microsoft Windows umgehend aktualisieren, und stets auf dem aktuellen Stand halten.
- Eine zuverlässige Endpoint-Sicherheitslösung verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Behebungs-Engine basiert, die schädliche Aktionen rückgängig machen kann.
- Anti-APT- und EDR-Lösungen wie Kaspersky Endpoint Detection and Response implementieren, die Funktionen zur Erkennung, Untersuchung und Behebung von Vorfällen ermöglichen.
- Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben und regelmäßig mit professionellen Schulungen weitergebildet werden.
- Dedizierte Dienste wie können hochkarätige Angriffe in einem frühen Stadium erkennen und stoppen.
www.kaspersky.de