{"id":29990,"date":"2023-04-14T12:39:44","date_gmt":"2023-04-14T10:39:44","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29990"},"modified":"2023-04-14T12:39:44","modified_gmt":"2023-04-14T10:39:44","slug":"nokoyawa-zero-day-exploit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/nokoyawa-zero-day-exploit\/29990\/","title":{"rendered":"CVE-2023-28252: Zero-Day-Schwachstelle im CLFS"},"content":{"rendered":"<p>Dank ihrer Komponenten \u201eVerhaltensanalyse\u201c und \u201eExploit-Pr\u00e4vention\u201c haben unsere L\u00f6sungen Versuche zum Exploit einer bisher unbekannten Schwachstelle im Common Log File System (CLFS) \u2013 dem Protokollierungssubsystem von Windows-Betriebssystemen \u2013 erkannt. Nach einer gr\u00fcndlichen Analyse der Schwachstelle hat sich unser Global Research &amp; Analysis Team (GReAT) mit Microsoft in Verbindung gesetzt und dem Unternehmen alle Ergebnisse mitgeteilt. Microsoft identifizierte die Sicherheitsl\u00fccke als CVE-2023-28252 und schloss diese am 4. April 2023 im Rahmen seines April-Patch Tuesday-Updates. Wir empfehlen, die neuen Patches schnellstm\u00f6glich zu installieren, da die Sicherheitsl\u00fccke nicht nur von Angreifern ausgenutzt wird, sondern auch bei Ransomware-Angriffen zum Einsatz kommt.<\/p>\n<h2>Was ist die Sicherheitsl\u00fccke CVE-2023-28252?<\/h2>\n<p>CVE-2023-28252 geh\u00f6rt <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">zur Kategorie der Schwachstellen, die eine Erweiterung der Privilegien erm\u00f6glichen<\/a>. Um sie ausnutzen zu k\u00f6nnen, m\u00fcssen Angreifer eine BLF-Datei manipulieren, um ihre Systemrechte zu erweitern und ihren Angriff fortsetzen zu k\u00f6nnen (sie ben\u00f6tigen also einen Erstzugang mit Nutzerrechten).<\/p>\n<p>Wie gewohnt finden Sie auf unserer <a href=\"https:\/\/securelist.com\/nokoyawa-ransomware-attacks-with-windows-zero-day\/109483\/\" target=\"_blank\" rel=\"noopener\">Securelist-Website alle technischen Informationen<\/a> sowie Indikatoren f\u00fcr eine Kompromittierung, wobei Details derzeit noch nicht ver\u00f6ffentlicht werden, um zu verhindern, dass sie von anderen Cyberkriminellen f\u00fcr neue Angriffe genutzt werden. Allerdings beabsichtigen unsere Experten, weitere Informationen um den 20. April bekannt zu geben, da die meisten Nutzer die Patches bis dahin installiert haben d\u00fcrften.<\/p>\n<h2>Wof\u00fcr wird die Sicherheitsl\u00fccke CVE-2023-28252 eingesetzt?<\/h2>\n<p>Im Gegensatz zu den meisten Zero-Day-Schwachstellen wird CVE-2023-28252 nicht f\u00fcr APT-Angriffe genutzt. In dem hier beschriebenen Fall war die endg\u00fcltige Payload, die auf die Computer der Opfer \u00fcbertragen wurde, eine neue Variante der Nokoyawa-Ransomware. Unsere Experten kamen jedoch nach der Untersuchung des Exploits zu dem Schluss, dass die Angreifer, die dahinterstecken, auch f\u00fcr die Erstellung einer Reihe fr\u00fcherer, \u00e4hnlicher Exploits f\u00fcr Schwachstellen in demselben CLFS verantwortlich waren. Im Rahmen dieser Angriffe wurden auch andere Tools eingesetzt, darunter Cobalt Strike Beacon und die modulare Backdoor Pipemagic.<\/p>\n<h2>So bleiben Sie gesch\u00fctzt<\/h2>\n<p>Zun\u00e4chst empfehlen wir, die April-Updates f\u00fcr Windows zu installieren. Um Ihre Infrastruktur vor Angriffen durch Schwachstellen (sowohl bekannte als auch Zero-Day-Schwachstellen) zu sch\u00fctzen, sollten Sie generell alle Arbeitscomputer und Server mit <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssigen Sicherheitsl\u00f6sungen<\/a> sch\u00fctzen, die vor der Ausnutzung von Schwachstellen sch\u00fctzen. Mit unseren Produkten werden Angriffsversuche \u00fcber CVE-2023-28252 sowie s\u00e4mtliche Malware, die von den Urhebern des Exploits verwendet wird, automatisch erkannt.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Experten von Kaspersky entdecken eine CLFS-Schwachstelle, die von Cyberkriminellen ausgenutzt wird.<\/p>\n","protected":false},"author":2706,"featured_media":29991,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[685,535,1498,33],"class_list":{"0":"post-29990","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-exploits","9":"tag-ransomware","10":"tag-schwachstellen","11":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nokoyawa-zero-day-exploit\/29990\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nokoyawa-zero-day-exploit\/25493\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/20926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/28102\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nokoyawa-zero-day-exploit\/25800\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/26204\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nokoyawa-zero-day-exploit\/28642\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nokoyawa-zero-day-exploit\/35070\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/47788\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nokoyawa-zero-day-exploit\/20439\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nokoyawa-zero-day-exploit\/21130\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nokoyawa-zero-day-exploit\/26120\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nokoyawa-zero-day-exploit\/31805\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nokoyawa-zero-day-exploit\/31492\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29990","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29990"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29990\/revisions"}],"predecessor-version":[{"id":29993,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29990\/revisions\/29993"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29991"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29990"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29990"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29990"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}