El último exploit para Windows roba claves y eleva privilegios, pero se puede combatir

Los expertos de Kaspersky han descubierto un tipo de ataque que se sirve de una vulnerabilidad zero-day dentro del sistema de archivos de registro común (CLFS) de Microsoft Windows para ejecutarse. Un grupo de ciberdelincuentes usó un exploit desarrollado para diferentes versiones del sistema operativo, entre ellos Windows 11, y trató de implementar en el mismo el ransomware Nokoyama. Microsoft parcheó la vulnerabilidad, asignándole el identificador CVE-2023-28252.

Mientras que la mayoría de las vulnerabilidades descubiertas por Kaspersky son utilizadas por amenazas persistentes avanzadas (APTs), esta resultó ser explotada con fines de ciberdelincuencia por un sofisticado grupo que lleva a cabo ataques de ransomware. Dicho grupo de ciberdelincuentes se caracteriza por el aprovechamiento de vulnerabilidades del sistema de archivos de registro común (CLFS). Kaspersky ha descubierto al menos cinco exploits diferentes en ataques contra empresas minoristas y mayoristas de sectores tan diversos como el energético, manufacturero, sanitario o de desarrollo de software, entre muchos otros.

Microsoft ha asignado el identificador CVE-2023-28252 al nuevo zero-day descubierto. Se trata de una vulnerabilidad de elevación de privilegios del sistema de archivos de registro común que se desencadena a través de la manipulación de un archivo. Los analistas de Kaspersky descubrieron esta vulnerabilidad tras revisar intentos de ejecución de exploits de elevación de privilegios en servidores de Microsoft Windows de pymes de Oriente Medio y Norteamérica.

En concreto, Kaspersky detectó por primera vez CVE-2023-28252 en un ataque en el cual los cibercriminales trataron de implementar una versión más actual del ransomware Nokoyawa. Las variantes más antiguas de este malware resultaron ser simplemente versiones rebautizadas del ransomware JSWorm, pero en el tipo de ataque mencionado anteriormente la variante Nokoyawa era muy distinta, atendiendo al código fuente.

El exploit utilizado en el ataque se desarrolló para diferentes versiones y compilaciones de Windows, entre ellas Windows 11. Los atacantes usaron la vulnerabilidad CVE-2023-28252 para elevar privilegios y robar credenciales de la base de datos del administrador de cuentas de seguridad (SAM).

“Los grupos de ciberdelincuentes son cada vez más sofisticados y usan exploits zero-day en sus ataques. Antes era una herramienta de los actores de amenazas persistentes avanzadas (APT), pero ahora los ciberdelincuentes tienen recursos para adquirir zero-day y usarlos para sus fines. También hay desarrolladores de exploits dispuestos a colaborar en la creación de diferentes variantes. Es muy importante que las empresas descarguen el último parche de Microsoft lo antes posible y usen otros métodos de protección, como las soluciones EDR”, explica Boris Larin, analista principal de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).

Para que las organizaciones se mantengan protegidas de ataques como los antes mencionados, los expertos de Kaspersky recomiendan:

• Actualizar Microsoft Windows tan pronto como sea posible y hacerlo con regularidad
• Utilizar una solución de seguridad endpoint de confianza, como Kaspersky Endpoint Security for Business, que está preparada para prevenir exploits. Además, detecta comportamientos anómalos y posee un completo motor para revertir ataques maliciosos
• Instalar soluciones contra amenazas avanzadas persistentes y EDR capaces de detectar vulnerabilidades, investigar las mismas y solucionar incidentes. Es interesante ofrecer al equipo SOC el acceso a la información más reciente de amenazas y mejorar sus habilidades mediante una capacitación periódica y profesional. Todo esto se puede encontrar en Kaspersky Expert Security framework
• Además de la protección adecuada del endpoint, los servicios dedicados pueden ayudar a combatir los ataques de alto perfil. Kaspersky Managed Detection and Response permite identificar y detener ataques en fase inicial, antes de que los ciberdelincuentes consigan sus objetivos.

Encuentra más información en Securelist.