Nokoyawa: attacco a Windows sfruttando una falla 0-Day

Nelle scorse ore, Microsoft ha rilasciato le patch per correggere varie vulnerabilità scovate su Windows, tra cui pure una di tipo zero day individuata nel Common Log File System (CLFS) (un log file subsystem introdotto con Windows Server 2003 R2/Vista e implementato nel driver clfs.sys.) e sfruttata dal ransomware Nokoyawa.

Nokoyawa sfrutta la falla CVE-2023-28252 su Windows

Da tenere presente che il CLFS è un componente piuttosto vulnerabile. Non è un caso, infatti, che Microsoft ha rilasciato patch per 32 bug dal 2018 ad oggi.

L’individuazione della falla è avvenuta da parte dei ricercatori di Kaspersky, i quali hanno scoperto e informato che il bug viene sfruttato per effettuare attacchi con il ransomware in questione.

La vulnerabilità è siglata come CVE-2023-28252 e può venire sfruttata per ottenere privilegi SYSTEM, prendere il controllo del sistema e installare il ransomware Nokoyawa.

Una volta eseguito l'accesso al sistema, i cybercriminali eseguono il dump della chiave di registro HKEY_LOCAL_MACHINE\SAM e usano un beacon di Cobalt Strike.

Un file JSON contiene poi i parametri di configurazione e l’elenco di file e delle directory da escludere dalla cifratura.

Gli esperti di Kaspersky provvederanno a comunicare tutti i dettagli tecnici il 20 aprile, in maniera tale da attendere l’installazione della patch da parte degli utenti.

Per evitare problemi, gli utenti devono provvedere a scaricare e installare quanto prima gli aggiornamenti necessari tramite Windows Update. È altresì utile installare sul proprio computer un buon software antivirus, proprio come nel caso dei prodotti di casa Kaspersky.