Hatur nuhun kana komponén Mesin Deteksi Paripolah sareng Mesin Pencegahan Garapan, solusi kami parantos mendakan usaha pikeun ngamangpaatkeun kerentanan anu teu dipikanyaho dina Common Log File System (CLFS) – subsistem logging tina sistem operasi Windows. Saatos nalungtik sacara saksama eksploitasi, Tim Panaliti & Analisis Global (GReAT) urang ngahubungi Microsoft sareng nyayogikeun sadaya panemuanna. Pamekar netepkeun kerentanan salaku CVE-2023-28252, sareng ditutup dina 4 April 2023 kalayan pembaruan April Patch Salasa. Kami nyarankeun masang patch énggal pas mungkin, sabab kerentanan henteu ngan ukur dieksploitasi ku panyerang – aranjeunna ogé dianggo dina serangan ransomware.

Naon kerentanan CVE-2023-28252?

CVE-2023-28252 milik kelas kerentanan élévasi hak husus. Pikeun ngamangpaatkeunana, panyerang kedah ngamanipulasi file BLF pikeun ningkatkeun hak istimewana dina sistem sareng tiasa neraskeun seranganna (ku kituna aranjeunna peryogi aksés awal sareng hak istimewa pangguna).

Sakumaha biasa, halaman wéb Securelist kami gaduh inpormasi téknis, ditambah indikator intrusi, tapi detil henteu diungkabkeun ayeuna sabab tiasa dianggo ku penjahat cyber sanés pikeun ngalakukeun serangan énggal. Nanging, para ahli kami badé ngabagikeunana dina 20 April (atanapi sakitarna), nyaéta tanggal anu paling seueur pangguna parantos masang patch na.

Pikeun naon kerentanan CVE-2023-28252 dianggo?

Beda sareng kalolobaan kerentanan enol dinten, CVE-2023-28252 henteu dianggo dina serangan APT. Dina hal ieu, muatan ahir anu dikirimkeun ka komputer korban mangrupikeun varian énggal tina ransomware Nokoyawa. Tapi saatos mariksa eksploitasi, para ahli kami nyimpulkeun yén panyerang tukangeun éta ogé tanggung jawab pikeun nyiptakeun sajumlah eksploitasi saméméhna anu sami pikeun kerentanan dina CLFS anu sami. Dina serangan anu nyebarkeun éta, urang ogé ningali alat anu sanés, kalebet Cobalt Strike Beacon sareng backdoor modular Pipemagic.

Kumaha tetep aman

Anu mimiti, kami nyarankeun masang apdet April pikeun Windows. Sacara umum, pikeun ngamankeun infrastruktur anjeun tina serangan anu ngagunakeun kerentanan (boh dikenal sareng nol-dinten), anjeun kedah ngajagi sadaya komputer sareng server padamelan kalayan solusi kaamanan anu dipercaya anu gaduh panyalindungan ngalawan eksploitasi kerentanan. Produk kami sacara otomatis ngadeteksi usaha serangan via CVE-2023-28252 ogé malware anu dianggo ku penjahat cyber anu nyiptakeun eksploitasi sapertos kitu.


#Kerentanan #nol #dinten #CLFS #Blog #resmi #Kaspersky