13.04.2023 | Малый и средний бизнес в Северной Америке и на Ближнем Востоке стал жертвой 0day-уязвимости Windows |
Microsoft исправила уязвимость нулевого дня в общей файловой системе журналов Windows (CLFS), которую киберпреступники активно используют для повышения привилегий и развертывания полезных нагрузок программ-вымогателей Nokoyawa . В свете продолжающейся эксплуатации CISA также добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей ( KEV ), приказав агентствам Федеральной гражданской исполнительной власти (FCEB) защитить свои системы от нее до 2 мая. Уязвимость CVE-2023-28252 была обнаружена специалистами из Mandiant и DBAPPSecurity. Ошибка влияет на все поддерживаемые серверные и клиентские версии Windows и может быть использована локальным злоумышленникам в атаках низкой сложности без вмешательства пользователя. Успешная эксплуатация позволяет киберпреступнику получить системные привилегии и полностью скомпрометировать целевые системы Windows. Microsoft исправила эту и 96 других ошибок безопасности в рамках вторника исправлений , включая 45 уязвимостей удаленного выполнения кода. Исследователи безопасности «Лаборатории Касперского» из группы GReAT заявили , что уязвимость CVE-2023-28252 используется в атаках программ-вымогателей Nokoyawa. Специалисты обнаружили уязвимость в феврале в результате дополнительных проверок ряда попыток выполнения аналогичных эксплойтов повышения привилегий на серверах Microsoft Windows, принадлежащих различным предприятиям малого и среднего бизнеса в ближневосточном и североамериканском регионах. По данным «Лаборатории Касперского», группа вымогателей Nokoyawa с июня 2022 года использовала как минимум еще 5 эксплойтов CLFS для атак на несколько отраслей, в том числе розничной и оптовой торговли, энергетики, производства, здравоохранения и разработки ПО. Программа-вымогатель Nokoyawa появилась в феврале 2022 года как штамм, способный атаковать 64-разрядные системы на базе Windows в атаках с двойным вымогательством, когда злоумышленники также крадут конфиденциальные файлы из скомпрометированных сетей и угрожают выложить их в сеть, если не будет выплачен выкуп. Изначально код Nokoyawa был схож с кодом программы-вымогателя JSWorm (Nemty) , но позже был переписан на Rust. Исследователи заявили, что ранние варианты Nokoyawa были просто «ребрендингом» вариантов программы-вымогателя JSWorm. В последних атаках киберпреступники использовали более новую версию Nokoyawa, которая сильно отличается от кодовой базы JSWorm. |
Проверить безопасность сайта