Zero-Day in Microsoft Windows bei Nokoyawa-Ransomware-Angriffen ausgenutzt
Microsoft listet die schon gepatchte Schwachstelle als CVE-2023-28252. Kaspersky-Produkte erkennen den Exploit und schützen.
Im Februar dieses Jahres entdeckten Kaspersky-Experten einen Angriff, der eine Zero-Day-Schwachstelle im Microsoft Common Log File System (CLFS) ausnutzte. Eine cyberkriminelle Gruppe nutzte einen Exploit, der für verschiedene Versionen und Builds von Windows-Betriebssystemen, einschließlich Windows 11, entwickelt wurde, und versuchte mit damit die Nokoyawa-Ransomware bereitzustellen. Microsoft listet die Schwachstelle als CVE-2023-28252 und hat diese gestern im Rahmen des Patch Tuesday gepatcht. Der Bedrohungsakteur versuchte zudem bei Angriffen auf diverse kleine und mittelständische Unternehmen im Nahen Osten, in Nordamerika und zuvor in asiatischen Regionen, ähnliche Exploits zur Erhöhung von Berechtigungen auszunutzen.
Während die meisten der von Kaspersky entdeckten Schwachstellen von APTs verwendet werden, wurde die jetzt entdeckte Schwachstelle von einer Gruppe, die Ransomware-Angriffe durchführt, für cyberkriminelle Aktivitäten eingesetzt. Die Cyberkriminellen zeichnen sich durch die Verwendung ähnlicher, aber einzigartiger Common-Log-File-System (CLFS)-Exploits aus. Kaspersky hat bereits fünf verschiedene Exploits dieser Art gesehen. Sie wurden unter anderem bei Angriffen auf Einzel- und Großhandel, Energie, Fertigung, Gesundheitswesen und Softwareentwicklung eingesetzt.
Bei der von Microsoft als CVE-2023-28252 bezeichneten Schwachstelle handelt es sich um einen CLFS-Exploit zur Erhöhung von Berechtigungen, die durch die Manipulation des von diesem Subsystem verwendeten Dateiformats ausgelöst wird. Kaspersky-Experten entdeckten die Schwachstelle im Februar, als sie eine Reihe von Angriffen analysierten, bei denen ähnliche Exploits zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern ausgeführt wurden. Die betroffenen Server gehören verschiedenen kleinen und mittleren Unternehmen im Nahen Osten und in Nordamerika.
Kaspersky entdeckte CVE-2023-28252 erstmals bei einem Angriff, bei dem Cyberkriminelle versuchten, eine neuere Version der Nokoyawa-Ransomware einzusetzen. Bei den älteren Varianten dieser Ransomware handelte es sich bisher um „umbenannte“ Varianten der JSWorm-Ransomware [2]. Die nun entdeckte Nokoyawa-Variante in den oben erwähnten Angriffen unterscheidet sich jedoch in der Codebasis deutlich von JSWorm.
Der bei dem Angriff verwendete Exploit wurde entwickelt, um verschiedene Versionen und Builds von Windows-Betriebssystemen, einschließlich Windows 11, auszunutzen. Angreifer nutzten die Schwachstelle CVE-2023-28252, um Berechtigungen zu erhöhen und Anmeldeinformationen aus der Security-Account-Manager (SAM)-Datenbank zu stehlen.
„Cyberkriminelle Gruppen agieren immer ausgefeilter, indem sie bei ihren Angriffen Zero-Day-Exploits einsetzen“, erklärt Boris Larin, Lead Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Früher waren Exploits in erster Linie ein Werkzeug von Advanced Persistent Threat Actors (APTs), aber nun haben auch „gewöhnliche“ Cyberkriminelle die Ressourcen, um Zero-Days zu erwerben und sie routinemäßig für Angriffe einzusetzen. Es gibt Exploit-Entwickler, die bereit sind, ihnen dabei zu helfen und Exploits zu entwickeln. Unternehmen müssen den neuesten Patch von Microsoft so schnell wie möglich einspielen und zusätzliche Schutzmethoden wie EDR-Lösungen verwenden.“
Kaspersky-Produkte erkennen und schützen vor der Ausnutzung der oben genannten Schwachstelle und verwandter Malware.
Kaspersky-Empfehlungen zum Schutz vor dem Exploit
- Microsoft Windows umgehend aktualisieren, und stets auf dem aktuellen Stand halten.
- Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business [3] verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Behebungs-Engine basiert, die schädliche Aktionen rückgängig machen kann.
- Anti-APT- und EDR-Lösungen wie Kaspersky Endpoint Detection and Response [4] implementieren, die Funktionen zur Erkennung, Untersuchung und Behebung von Vorfällen ermöglichen.
- Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen [5] haben und regelmäßig mit professionellen Schulungen weitergebildet werden.
- Dedizierte Dienste wie Kaspersky Managed Detection and Response [6] können hochkarätige Angriffe in einem frühen Stadium erkennen und stoppen.
Weitere Informationen sind verfügbar unter https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
[1] https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
[2] https://securelist.com/evolution-of-jsworm-ransomware/102428/
[3] https://www.kaspersky.de/small-to-medium-business-security
[4] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[5] https://www.kaspersky.de/enterprise-security/threat-intelligence
[6] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
Nützliche Links:
- Kaspersky-Analyse: https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
Zero-Day in Microsoft Windows bei Nokoyawa-Ransomware-Angriffen ausgenutzt
Kaspersky
Verwandter Artikel Pressemitteilungen
Kaspersky Thin Client 2.0: Cyber-Immun-Schutz mit verbesserter Konnektivität und Leistung
BOLL Engineering testete Kaspersky Thin Client 2.0 in der Pilotphase und führt Produkt in Deutschland, Österreich und der Schweiz einMehr anzeigen >Kaspersky Extended Detection and Response jetzt für Unternehmen verfügbar
Fortschrittliche XDR-Lösung für umfassende Bedrohungserkennung und -reaktionMehr anzeigen >Kaspersky Next: Neue Produktreihe für Unternehmen
Robuster Endpunktschutz mit KI-Funktionen kombiniert mit EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response)Mehr anzeigen >