今年2月，卡巴斯基專家發(fā)現(xiàn)一場利用微軟通用日志文件系統(tǒng)（CLFS）中的零日漏洞的攻擊。一個網(wǎng)絡(luò)犯罪阻止使用為包括Windows 11在內(nèi)的不同版本的Windows操作系統(tǒng)開發(fā)的漏洞利用程序，并試圖部署Nokoyawa勒索軟件。微軟將該漏洞編號為CVE-2023-28252，并在今天作為周二補丁日的一部分對其進行了修補。威脅行為者還試圖在對中東和北美以及以前在亞洲地區(qū)的不同中小型企業(yè)的攻擊中執(zhí)行類似的權(quán)限提升漏洞。

雖然卡巴斯基發(fā)現(xiàn)的大多數(shù)漏洞都是由APT使用的，但這一漏洞卻被一個實施勒索軟件攻擊的復雜組織用于網(wǎng)絡(luò)犯罪目的。該網(wǎng)絡(luò)犯罪組織之所以特別，是因為其使用類似但獨特的通用日志文件系統(tǒng)（CLFS）漏洞利用程序。卡巴斯基曾見過至少五個不同的這類漏洞利用程序。它們被用于攻擊零售和批發(fā)、能源、制造、醫(yī)療保健、軟件開發(fā)和其他行業(yè)。

對于這個發(fā)現(xiàn)的零日漏洞，微軟將其編號為CVE-2023-28252。這是一種常見日志文件系統(tǒng)特權(quán)提升漏洞，該漏洞由操縱此子系統(tǒng)使用的文件格式觸發(fā)?？ò退够诮衲?月發(fā)現(xiàn)的這一漏洞，是在對中東和北美地區(qū)不同中小型企業(yè)的Microsoft Windows服務(wù)器上執(zhí)行類似特權(quán)提升攻擊的多次嘗試進行額外檢查的結(jié)果。

CVE-2023-28252漏洞是卡巴斯基在一次攻擊中首次發(fā)現(xiàn)的，當時網(wǎng)絡(luò)罪犯試圖部署更新版本的Nokoyawa勒索軟件。該勒索軟件的舊變種只是JSWORM勒索軟件的““改頭換面”變種，但在上述攻擊中，Nokoyawa變種在代碼庫方面與JSWORM截然不同。

Nokoyawa的勒索信

攻擊中使用的漏洞利用程序是為了支持包括Windows 11在內(nèi)的Windows操作系統(tǒng)的不同版本而開發(fā)的。攻擊者使用CVE-2023-28252漏洞來提升權(quán)限并從安全賬戶管理器（Sam）數(shù)據(jù)庫中竊取憑證。

“網(wǎng)絡(luò)犯罪組織在攻擊中使用零日漏洞的手段變得越來越復雜。之前，零日漏洞主要是一些高級可持續(xù)威脅行為者（APT）所使用的工具，現(xiàn)在網(wǎng)絡(luò)罪犯有足夠的資源來獲取零日漏洞，并在攻擊中經(jīng)常使用它們。還有漏洞利用開發(fā)者愿意幫助他們，開發(fā)一個又一個的漏洞利用程序。對于企業(yè)來說，盡快從微軟下載最新的補丁，并使用其他保護方法（如EDR解決方案）是非常重要的，”全球研究與分析團隊（GReAT）高級安全研究員Boris Larin表示。

卡巴斯基產(chǎn)品能夠檢測和攔截上述漏洞被利用，并攔截相關(guān)惡意軟件。

更多有關(guān)最新零日漏洞詳情，請訪問Securelist。更多細節(jié)將在四月補丁星期二過后九天分享，以便公司有足夠的時間來修補他們的系統(tǒng)。

為了保護您的組織免受利用上述漏洞的攻擊危害，卡巴斯基專家建議：

及時更新您使用的微軟Windows系統(tǒng)，并且定期進行更新。

使用一款可靠的端點安全解決方案，例如卡巴斯基網(wǎng)絡(luò)安全解決方案。這類解決放啊你具備漏洞入侵防護、行為檢測技術(shù)以及修復引擎，能夠回歸惡意行為。

安裝反APT和EDR解決方案，開啟威脅發(fā)現(xiàn)和檢測、事件調(diào)查和及時補救功能。為您的SOC團隊提供最新的威脅情報，并定期通過專業(yè)培訓提高他們的技能。卡巴斯基專家安全框架中提供了上述所有功能。

除了適當?shù)亩它c保護外，專用服務(wù)還有助于抵御高調(diào)攻擊。卡巴斯基管理檢測和響應服務(wù)可以幫助在攻擊者實現(xiàn)其目標之前的早期階段識別和阻止攻擊。