La nouvelle faille de sécurité zero-day dans Windows est exploitée par le ransomware Nokoyawa
Au sein de son Patch Tuesday d'Avril 2023, Microsoft a corrigé une faille de sécurité zero-day exploitée dans le cadre d'attaques. D'ailleurs, un groupe de cybercriminels associé au ransomware Nokoyawa l'exploite déjà !
Comme je l'indiquais dans mon article dédié au Patch Tuesday d'Avril 2023, la faille de sécurité CVE-2023-28252 se situe dans le pilote Windows CLFS (Common Log File System) et elle permet à l'attaquant d'effectuer une élévation de privilèges. In fine, l'attaquant peut prendre le contrôle de la machine Windows et exécuter une souche malveillante. Microsoft précise : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
A la question "Quelles sont les versions de Windows affectées par cette vulnérabilité ?", la réponse est simple : toutes les versions de Windows Server et de Windows.
Initialement, cette faille de sécurité a été découverte par Genwei Jiang de chez Mandiant et Quan Jin de chez DBAPPSecurity WeBin Lab.
De son côté, l'éditeur Kaspersky a émis une alerte au sujet de cette vulnérabilité, car elle a été exploitée par le groupe de cybercriminels du ransomware Nokoyawa dans le cadre d'attaques. Cela ne serait pas tout récent, puisque les cybercriminels s'amuseraient avec le pilote CLFS de Windows depuis juin 2022 en utilisant au moins 5 exploits différents ! D'ailleurs, Kaspersky rappelle que Microsoft a patché au moins 32 failles de sécurité dans le pilote CLFS de Windows depuis 2018.
La nouvelle vulnérabilité a été découverte en février 2023 : "Les chercheurs de Kaspersky ont découvert cette vulnérabilité en février à la suite de vérifications supplémentaires d'un certain nombre de tentatives d'exécution d'exploits similaires d'élévation de privilèges sur des serveurs Microsoft Windows appartenant à différentes petites et moyennes entreprises dans les régions du Moyen-Orient et de l'Amérique du Nord."
En exploitant cette vulnérabilité, le gang du ransomware Nokoyawa peut effectuer une élévation de privilèges et exécuter la charge utile sur la machine compromise. Il est à noter que ce groupe de cybercriminels a émergé en février 2022 et qu'il applique le principe de la double extorsion dans ses attaques.
De son côté, l'agence américaine CISA a ajouté la faille de sécurité CVE-2023-28252 à sa liste des vulnérabilités exploitées dans le cadre d'attaques. Il y a des chances pour qu'un avis du CERT-FR soit mis en ligne dans les prochaines heures.
Les dernières mises à jour Windows corrigent la faille de sécurité CVE-2023-28252 : à vos mises à jour !
