Gracias a los componentes Detección de comportamiento y Prevención de exploits, nuestras soluciones han detectado los intentos de explotación de una vulnerabilidad anteriormente desconocida en el Sistema de archivos de registro común (CLFS por sus siglas en inglés), el subsistema de registro de los sistemas operativos de Windows. Después de una investigación minuciosa de la vulnerabilidad, nuestro equipo de análisis e investigación global (GReAT) contactó con Microsoft para informarles de todos sus descubrimientos. Los desarrolladores designaron la vulnerabilidad como CVE-2023-28252 y la cerraron el 4 de abril del 2023 con su actualización del martes de parches de ese mismo mes. Recomendamos a todos los usuarios que instalen las actualizaciones de inmediato, dado que los atacantes no solo están explotando la vulnerabilidad, sino que también se está utilizando en ataques de ransomware.
¿Qué es la vulnerabilidad CVE-2023-28252?
La CVE-2023-28252 pertenece a la clase de vulnerabilidades de escalada de privilegios. Para explotarla, los atacantes deben manipular un archivo BLF para elevar sus privilegios en el sistema y poder seguir con su ataque, por lo que necesitan acceso a los privilegios de usuario.
Como es habitual, en nuestra página Securelist encontrarás toda la información técnica, además de los indicadores de compromiso, pero todavía no se han divulgado todos los detalles, dado que podrían usarse para llevar a cabo más ataques. No obstante, nuestros expertos tienen pensado compartir toda esta información el 20 de abril, más o menos, cuando ya la mayoría de los usuarios hayan instalado los parches.
¿Para qué se utiliza la vulnerabilidad CVE-2023-28252?
A diferencia de la mayoría de las vulnerabilidades de día cero, la CVE-2023-28252 no se está utilizando en ataques APT, sino que, en este caso, la carga final que reciben los ordenadores de las víctimas es una nueva variante del ransomware Nokoyawa. Pero después de examinar el exploit, nuestros expertos concluyeron que los atacantes también habían sido los responsables de la creación de otros exploits similares anteriores en vulnerabilidades del mismo CLFS. En estos ataques también hemos visto otras herramientas, como Beacon de Cobalt Strike y la puerta trasera modular Pipemagic.
Cómo mantenerte a salvo
En primer lugar, te recomendamos que instales las actualizaciones de abril para Windows. En general, para proteger tu infraestructura contra los ataques que usan vulnerabilidades (ya sean conocidas o de día cero), tienes que proteger todos tus ordenadores y servidores corporativos con soluciones de seguridad de confianza que incluyan protección contra la explotación de vulnerabilidades. Nuestros productos detectan automáticamente los intentos de ataque a través de la CVE-2023-28252, al igual que todo el malware que utilizaron los ciberdelincuentes para crear el exploit.