Microsoft heeft recent updates uitgebracht die een zero-day kwetsbaarheid in vrijwel alle versies van Windows oplost. Deze kwetsbaarheid werd volgens diverse onderzoeken ingezet in ransomware-aanvallen om privilege escalation te doen.
CVE-2023-28252
Het betreffende lek (CVE-2023-28252) maakt gebruik van een kwetsbaarheid in Common Log File System (CLFS) binnen Microsoft Windows in zit in zowel Server- als clientedities. Dit onderdeel wordt gebruikt om applicaties en services snelle toegang te geven tot logging en is beschikbaar voor vrijwel elke applicaties, ongeacht het niveau.
Privilege escalation
Door dit lek te gebruiken kan een aanvaller een privilege escalation uitvoeren, oftewel de rechten verhogen naar SYSTEM niveau, wat het hoogste niveau is binnen Windows. Door het verschaffen van deze rechten kan een volledig systeem gecompromitteerd worden.
Ransomware aanvallen
Volgens onderzoeken van Microsoft zelf en onder andere ook Kaspersky is deze CVE gebruikt in recente ransomware-aanvallen om systemen over te nemen. Kaspersky heeft waargenomen dat de ransomware-bende “Nokoyawa” voornamelijk deze methodiek gebruikt waarbij vooral MKB-bedrijven in het Midden-Oosten en Noord-Amerika werden aangevallen.