{"id":26204,"date":"2023-04-16T09:33:05","date_gmt":"2023-04-16T15:33:05","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26204"},"modified":"2023-04-16T09:33:05","modified_gmt":"2023-04-16T15:33:05","slug":"nokoyawa-zero-day-exploit","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/26204\/","title":{"rendered":"CVE-2023-28252: una vulnerabilidad de d\u00eda cero en CLFS"},"content":{"rendered":"<p>Gracias a los componentes Detecci\u00f3n de comportamiento y Prevenci\u00f3n de exploits, nuestras soluciones han detectado los intentos de explotaci\u00f3n de una vulnerabilidad anteriormente desconocida en el Sistema de archivos de registro com\u00fan (CLFS por sus siglas en ingl\u00e9s), el subsistema de registro de los sistemas operativos de Windows. Despu\u00e9s de una investigaci\u00f3n minuciosa de la vulnerabilidad, nuestro equipo de an\u00e1lisis e investigaci\u00f3n global (GReAT) contact\u00f3 con Microsoft para informarles de todos sus descubrimientos. Los desarrolladores designaron la vulnerabilidad como CVE-2023-28252 y la cerraron el 4 de abril del 2023 con su actualizaci\u00f3n del martes de parches de ese mismo mes. Recomendamos a todos los usuarios que instalen las actualizaciones de inmediato, dado que los atacantes no solo est\u00e1n explotando la vulnerabilidad, sino que tambi\u00e9n se est\u00e1 utilizando en ataques de ransomware.<\/p>\n<h2>\u00bfQu\u00e9 es la vulnerabilidad CVE-2023-28252?<\/h2>\n<p>La CVE-2023-28252 pertenece a la clase de vulnerabilidades de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">escalada de privilegios<\/a>. Para explotarla, los atacantes deben manipular un archivo BLF para elevar sus privilegios en el sistema y poder seguir con su ataque, por lo que necesitan acceso a los privilegios de usuario.<\/p>\n<p>Como es habitual, en nuestra p\u00e1gina Securelist encontrar\u00e1s toda la <a href=\"https:\/\/securelist.com\/nokoyawa-ransomware-attacks-with-windows-zero-day\/109483\/\" target=\"_blank\" rel=\"noopener\">informaci\u00f3n t\u00e9cnica<\/a>, adem\u00e1s de los indicadores de compromiso, pero todav\u00eda no se han divulgado todos los detalles, dado que podr\u00edan usarse para llevar a cabo m\u00e1s ataques. No obstante, nuestros expertos tienen pensado compartir toda esta informaci\u00f3n el 20 de abril, m\u00e1s o menos, cuando ya la mayor\u00eda de los usuarios hayan instalado los parches.<\/p>\n<h2>\u00bfPara qu\u00e9 se utiliza la vulnerabilidad CVE-2023-28252?<\/h2>\n<p>A diferencia de la mayor\u00eda de las vulnerabilidades de d\u00eda cero, la CVE-2023-28252 no se est\u00e1 utilizando en ataques APT, sino que, en este caso, la carga final que reciben los ordenadores de las v\u00edctimas es una nueva variante del ransomware Nokoyawa. Pero despu\u00e9s de examinar el exploit, nuestros expertos concluyeron que los atacantes tambi\u00e9n hab\u00edan sido los responsables de la creaci\u00f3n de otros exploits similares anteriores en vulnerabilidades del mismo CLFS. En estos ataques tambi\u00e9n hemos visto otras herramientas, como Beacon de Cobalt Strike y la puerta trasera modular Pipemagic.<\/p>\n<h2>C\u00f3mo mantenerte a salvo<\/h2>\n<p>En primer lugar, te recomendamos que instales las actualizaciones de abril para Windows. En general, para proteger tu infraestructura contra los ataques que usan vulnerabilidades (ya sean conocidas o de d\u00eda cero), tienes que proteger todos tus ordenadores y servidores corporativos con <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad de confianza<\/a> que incluyan protecci\u00f3n contra la explotaci\u00f3n de vulnerabilidades. Nuestros productos detectan autom\u00e1ticamente los intentos de ataque a trav\u00e9s de la CVE-2023-28252, al igual que todo el malware que utilizaron los ciberdelincuentes para crear el exploit.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Los expertos de Kaspersky descubrieron una vulnerabilidad ya en activo en el sistema CLFS.<\/p>\n","protected":false},"author":2706,"featured_media":26205,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2081,472,647,79],"class_list":{"0":"post-26204","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-exploits","9":"tag-ransomware","10":"tag-vulnerabilidades","11":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/26204\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nokoyawa-zero-day-exploit\/25493\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/20926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/28102\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nokoyawa-zero-day-exploit\/25800\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nokoyawa-zero-day-exploit\/28642\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nokoyawa-zero-day-exploit\/35070\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/47788\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nokoyawa-zero-day-exploit\/20439\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nokoyawa-zero-day-exploit\/21130\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nokoyawa-zero-day-exploit\/29990\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nokoyawa-zero-day-exploit\/26120\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nokoyawa-zero-day-exploit\/31805\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nokoyawa-zero-day-exploit\/31492\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26204"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26204\/revisions"}],"predecessor-version":[{"id":26206,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26204\/revisions\/26206"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26205"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26204"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26204"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}