La vulnérabilité zero-day CVE-2023-28252 se trouve dans le CLFS

Les experts de Kaspersky ont découvert une vulnérabilité dans le système CLFS exploitée par les cybercriminels.

C’est grâce aux modules de détection comportementale et de protection contre les exploits que nos solutions ont pu détecter les tentatives d’exploitation d’une vulnérabilité jusqu’alors inconnue dans le système Common Log File System (CLFS), qui est le sous-système de connexion des systèmes d’exploitation Windows. Après avoir minutieusement étudié l’exploit, les membres de notre équipe Global Research & Analysis Team (GReAT) ont contacté Microsoft et ont partagé leurs découvertes. Les développeurs ont nommé cette vulnérabilité CVE-2023-28252 et l’ont corrigée le 4 avril 2023 avec la mise à jour Patch Tuesday du mois d’avril. Nous vous conseillons d’installer les derniers correctifs dès que possible puisque cette vulnérabilité n’est pas seulement exploitée par les cybercriminels ; elle est également utilisée pour lancer des attaques avec un rançongiciel.

Qu’est-ce que la vulnérabilité CVE-2023-28252 ?

CVE-2023-28252 est une vulnérabilité d’élévation de privilèges. Pour l’exploiter, les cybercriminels doivent manipuler un fichier BLF pour élever les privilèges dans le système et pouvoir poursuivre l’attaque. Ils ont donc besoin d’un accès initial avec des privilèges utilisateur.

Comme d’habitude, vous trouverez toutes les informations techniques et les indicateurs de compromission sur notre site Securelist. En revanche, les détails n’ont pas encore été révélés puisque d’autres cybercriminels pourraient s’en servir pour lancer de nouvelles attaques. Pourtant, nos experts envisagent de les partager le 20 avril (à quelques jours près) puisque la plupart des utilisateurs devraient avoir installé les correctifs à cette date.

Comment la vulnérabilité CVE-2023-28252 est-elle utilisée ?

Contrairement à la plupart des vulnérabilités zero-day, CVE-2023-28252 n’est pas utilisée dans le cadre d’attaques APT. Dans ce cas, le téléchargement de la charge virale finale sur l’ordinateur de la victime est une nouvelle variante du rançongiciel Nokoyawa. Après avoir examiné l’exploit, nos experts en ont conclu que les cybercriminels à l’origine du programme étaient aussi ceux qui avaient créé plusieurs exploits similaires dans le passé afin d’exploiter les vulnérabilités du système CLFS. Les attaques qui les déploient utilisent aussi d’autres outils, dont Cobalt Strike Beacon et la porte dérobée modulaire Pipemagic.

Comment vous protéger

Tout d’abord, nous vous conseillons d’installer les mises à jour Windows d’avril dès que possible. De façon générale, vous devez protéger tous vos postes de travail et serveurs en installant des solutions de sécurité fiables équipées d’une protection contre l’exploitation des vulnérabilités pour protéger votre infrastructure contre les attaques qui exploitent ces vulnérabilités (connues ou zero-day). Nos produits détectent automatiquement les tentatives d’attaque via CVE-2023-28252 ainsi que tous les programmes malveillants utilisés par les cybercriminels qui ont créé l’exploit.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries