Esta vulnerabilidad descubierta el día 13 de Abril donde Microsoft ha solucionado una vulnerabilidad crítica “Cero Day” explotada activamente, y ha publicado un parche. Microsoft etiquetó el exploit como CVE-2023-28252 y lo denominó – “Windows Common Log File System Driver Elevation of Privilege Vulnerability”.
CVE-2023-28252 es una vulnerabilidad de elevación de privilegios, donde un atacante con acceso al sistema y capacidad suficiente para ejecutar código.
Dentro de los niveles de criticidad establecidos por los CVss, este tiene una puntuación de 7.8, lo cual es clasificada como “Alta-Elevada (Importante)”. Esta vulnerabilidad afecta a todas las versiones compatibles de servidores y clientes de Windows incluidos Windows 11.
Enfoque del Ransomware Nokoyawa:
Según Kaspersky Technologies, en febrero, se descubrió que los ataques de ransomware Nokoyawa explotaban CVE-2023-28252 para la elevación de privilegios en servidores Microsoft Windows pertenecientes a pequeñas y medianas empresas.
El ransomware Nokoyawa surgió en marzo de 2022 como una familia de ransomware de Windows de 64 bits que comparte sorprendentes similitudes en su cadena de ataque con Hive , una de las familias de ransomware más notorias de 2021. La versión inicial del ransomware se desarrolló en el lenguaje de programación C, mientras que las posteriores están en lenguaje Rust usando criptografía de curva elíptica (ECC) con Curve25519 y Salsa20 para el cifrado de archivos y requieren argumentos de línea de comandos.
Aquí una imagen del ransomware:
El hash de este Ransomware es el siguiente: hash_md5 = “46168ed7dbe33ffc4179974f8bf401aa“
Remediación y mitigación:
Recomendamos aplicar el parche lanzado el ‘martes de parches’ (11 de abril de 2023) por Microsoft lo antes posible, ya que es la forma óptima de mitigar los riesgos de ser susceptible al ataque.
Sabemos que aplicar el parche a algunos sistemas viene con su propio conjunto de advertencias. Por lo tanto, si la aplicación de parches no es posible de inmediato, asegurarse de haber implementado estas mejores prácticas de seguridad puede ayudar a mitigar esta amenaza en gran medida:
- Escanee y evalúe regularmente los activos de la organización en busca de vulnerabilidades y configuraciones incorrectas para parchearlos y mantener actualizados los sistemas operativos, el firmware y las aplicaciones.
- Refuerce la protección de MFA y phishing para las cuentas de usuario y administrativas. Adopte la práctica de privilegios mínimos y acceso basado en el tiempo, cuando sea posible.
- Realice escenarios de ataque simulados para asegurarse de que los empleados estén bien informados sobre el phishing y otros riesgos, y también para asegurarse de que informen el incidente al equipo interno de ciberseguridad.
- Implemente ampliamente la segmentación de la red para evitar la propagación y limitar el impacto.
- Desarrolle la práctica de crear y mantener periódicamente copias de seguridad cifradas fuera de línea que abarquen toda la infraestructura de datos de la organización y asegure su disponibilidad a través de intentos periódicos de restauración.
- Revise periódicamente la postura de seguridad de los proveedores externos interconectados con la organización.
- Esté atento a las credenciales filtradas en los sitios de fuga de datos de malware y realice los cambios correspondientes
Conclusiones finales:
Estos parches son como un pequeño superhéroe del sistema. Cuando implica una vulnerabilidad en un cero día, el parche se vuelve una de las soluciones más criticas. Sin estas actualizaciones apropiadas, nuestro sistema puede estar expuesto al ataque, y nuestra información personal y datos confidenciales estar en peligro. Por lo tanto, no ignoraremos esas molestas notificaciones de actualizaciones.
Además, el nivel de madurez entre los grupos cibernéticos han aumentado significativamente; para cualquier analista de seguridad que desee mantenerse alejados de las organizaciones peligrosas, un método de detección activa es indispensable para detectar este tipo de amenazas.