{"id":20439,"date":"2023-04-17T09:58:26","date_gmt":"2023-04-17T07:58:26","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20439"},"modified":"2023-04-17T09:58:26","modified_gmt":"2023-04-17T07:58:26","slug":"nokoyawa-zero-day-exploit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/nokoyawa-zero-day-exploit\/20439\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 zero-day CVE-2023-28252 se trouve dans le CLFS"},"content":{"rendered":"

C\u2019est gr\u00e2ce aux modules de d\u00e9tection comportementale et de protection contre les exploits que nos solutions ont pu d\u00e9tecter les tentatives d\u2019exploitation d\u2019une vuln\u00e9rabilit\u00e9 jusqu\u2019alors inconnue dans le syst\u00e8me Common Log File System (CLFS), qui est le sous-syst\u00e8me de connexion des syst\u00e8mes d\u2019exploitation Windows. Apr\u00e8s avoir minutieusement \u00e9tudi\u00e9 l\u2019exploit, les membres de notre \u00e9quipe Global Research & Analysis Team (GReAT) ont contact\u00e9 Microsoft et ont partag\u00e9 leurs d\u00e9couvertes. Les d\u00e9veloppeurs ont nomm\u00e9 cette vuln\u00e9rabilit\u00e9 CVE-2023-28252 et l\u2019ont corrig\u00e9e le 4 avril 2023 avec la mise \u00e0 jour Patch Tuesday du mois d\u2019avril. Nous vous conseillons d\u2019installer les derniers correctifs d\u00e8s que possible puisque cette vuln\u00e9rabilit\u00e9 n\u2019est pas seulement exploit\u00e9e par les cybercriminels\u00a0; elle est \u00e9galement utilis\u00e9e pour lancer des attaques avec un ran\u00e7ongiciel.<\/p>\n

Qu\u2019est-ce que la vuln\u00e9rabilit\u00e9 CVE-2023-28252 ?<\/h2>\n

CVE-2023-28252 est une vuln\u00e9rabilit\u00e9 d\u2019\u00e9l\u00e9vation de privil\u00e8ges<\/a>. Pour l\u2019exploiter, les cybercriminels doivent manipuler un fichier BLF pour \u00e9lever les privil\u00e8ges dans le syst\u00e8me et pouvoir poursuivre l\u2019attaque. Ils ont donc besoin d\u2019un acc\u00e8s initial avec des privil\u00e8ges utilisateur.<\/p>\n

Comme d\u2019habitude, vous trouverez toutes les informations techniques<\/a> et les indicateurs de compromission sur notre site Securelist. En revanche, les d\u00e9tails n\u2019ont pas encore \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9s puisque d\u2019autres cybercriminels pourraient s\u2019en servir pour lancer de nouvelles attaques. Pourtant, nos experts envisagent de les partager le 20 avril (\u00e0 quelques jours pr\u00e8s) puisque la plupart des utilisateurs devraient avoir install\u00e9 les correctifs \u00e0 cette date.<\/p>\n

Comment la vuln\u00e9rabilit\u00e9 CVE-2023-28252 est-elle utilis\u00e9e ?<\/h2>\n

Contrairement \u00e0 la plupart des vuln\u00e9rabilit\u00e9s zero-day, CVE-2023-28252 n\u2019est pas utilis\u00e9e dans le cadre d\u2019attaques APT. Dans ce cas, le t\u00e9l\u00e9chargement de la charge virale finale sur l\u2019ordinateur de la victime est une nouvelle variante du ran\u00e7ongiciel Nokoyawa. Apr\u00e8s avoir examin\u00e9 l\u2019exploit, nos experts en ont conclu que les cybercriminels \u00e0 l\u2019origine du programme \u00e9taient aussi ceux qui avaient cr\u00e9\u00e9 plusieurs exploits similaires dans le pass\u00e9 afin d\u2019exploiter les vuln\u00e9rabilit\u00e9s du syst\u00e8me CLFS. Les attaques qui les d\u00e9ploient utilisent aussi d\u2019autres outils, dont Cobalt Strike Beacon et la porte d\u00e9rob\u00e9e modulaire Pipemagic.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Tout d\u2019abord, nous vous conseillons d\u2019installer les mises \u00e0 jour Windows d\u2019avril d\u00e8s que possible. De fa\u00e7on g\u00e9n\u00e9rale, vous devez prot\u00e9ger tous vos postes de travail et serveurs en installant des solutions de s\u00e9curit\u00e9 fiables<\/a> \u00e9quip\u00e9es d\u2019une protection contre l\u2019exploitation des vuln\u00e9rabilit\u00e9s pour prot\u00e9ger votre infrastructure contre les attaques qui exploitent ces vuln\u00e9rabilit\u00e9s (connues ou zero-day). Nos produits d\u00e9tectent automatiquement les tentatives d\u2019attaque via CVE-2023-28252 ainsi que tous les programmes malveillants utilis\u00e9s par les cybercriminels qui ont cr\u00e9\u00e9 l\u2019exploit.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Les experts de Kaspersky ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 dans le syst\u00e8me CLFS exploit\u00e9e par les cybercriminels.<\/p>\n","protected":false},"author":2706,"featured_media":20440,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[693,1270,60,322,23],"class_list":{"0":"post-20439","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-exploits","10":"tag-rancongiciel","11":"tag-vulnerabilite","12":"tag-vulnerabilites","13":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nokoyawa-zero-day-exploit\/20439\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nokoyawa-zero-day-exploit\/25493\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/20926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/28102\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nokoyawa-zero-day-exploit\/25800\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/26204\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nokoyawa-zero-day-exploit\/28642\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nokoyawa-zero-day-exploit\/35070\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/47788\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nokoyawa-zero-day-exploit\/21130\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nokoyawa-zero-day-exploit\/29990\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nokoyawa-zero-day-exploit\/26120\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nokoyawa-zero-day-exploit\/31805\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nokoyawa-zero-day-exploit\/31492\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilite\/","name":"vuln\u00e9rabilit\u00e9"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20439","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20439"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20439\/revisions"}],"predecessor-version":[{"id":20441,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20439\/revisions\/20441"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20440"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20439"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20439"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20439"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}