Dank ihrer Komponenten „Verhaltensanalyse“ und „Exploit-Prävention“ haben unsere Lösungen Versuche zum Exploit einer bisher unbekannten Schwachstelle im Common Log File System (CLFS) – dem Protokollierungssubsystem von Windows-Betriebssystemen – erkannt. Nach einer gründlichen Analyse der Schwachstelle hat sich unser Global Research & Analysis Team (GReAT) mit Microsoft in Verbindung gesetzt und dem Unternehmen alle Ergebnisse mitgeteilt. Microsoft identifizierte die Sicherheitslücke als CVE-2023-28252 und schloss diese am 4. April 2023 im Rahmen seines April-Patch Tuesday-Updates. Wir empfehlen, die neuen Patches schnellstmöglich zu installieren, da die Sicherheitslücke nicht nur von Angreifern ausgenutzt wird, sondern auch bei Ransomware-Angriffen zum Einsatz kommt.
Was ist die Sicherheitslücke CVE-2023-28252?
CVE-2023-28252 gehört zur Kategorie der Schwachstellen, die eine Erweiterung der Privilegien ermöglichen. Um sie ausnutzen zu können, müssen Angreifer eine BLF-Datei manipulieren, um ihre Systemrechte zu erweitern und ihren Angriff fortsetzen zu können (sie benötigen also einen Erstzugang mit Nutzerrechten).
Wie gewohnt finden Sie auf unserer Securelist-Website alle technischen Informationen sowie Indikatoren für eine Kompromittierung, wobei Details derzeit noch nicht veröffentlicht werden, um zu verhindern, dass sie von anderen Cyberkriminellen für neue Angriffe genutzt werden. Allerdings beabsichtigen unsere Experten, weitere Informationen um den 20. April bekannt zu geben, da die meisten Nutzer die Patches bis dahin installiert haben dürften.
Wofür wird die Sicherheitslücke CVE-2023-28252 eingesetzt?
Im Gegensatz zu den meisten Zero-Day-Schwachstellen wird CVE-2023-28252 nicht für APT-Angriffe genutzt. In dem hier beschriebenen Fall war die endgültige Payload, die auf die Computer der Opfer übertragen wurde, eine neue Variante der Nokoyawa-Ransomware. Unsere Experten kamen jedoch nach der Untersuchung des Exploits zu dem Schluss, dass die Angreifer, die dahinterstecken, auch für die Erstellung einer Reihe früherer, ähnlicher Exploits für Schwachstellen in demselben CLFS verantwortlich waren. Im Rahmen dieser Angriffe wurden auch andere Tools eingesetzt, darunter Cobalt Strike Beacon und die modulare Backdoor Pipemagic.
So bleiben Sie geschützt
Zunächst empfehlen wir, die April-Updates für Windows zu installieren. Um Ihre Infrastruktur vor Angriffen durch Schwachstellen (sowohl bekannte als auch Zero-Day-Schwachstellen) zu schützen, sollten Sie generell alle Arbeitscomputer und Server mit zuverlässigen Sicherheitslösungen schützen, die vor der Ausnutzung von Schwachstellen schützen. Mit unseren Produkten werden Angriffsversuche über CVE-2023-28252 sowie sämtliche Malware, die von den Urhebern des Exploits verwendet wird, automatisch erkannt.