Microsoft listet die Schwachstelle, die in verschiedenen Windows-Betriebssystemen, einschließlich Windows 11, zu finden gewesen ist, als CVE-2023-28252. Während die meisten solcher Schwachstellen von Advanced Persistent Threat-Akteuren verwendet werden, war die jetzt entdeckte Schwachstelle im Visier einer Gruppe, die Ransomware-Angriffe durchführt. Von einem Advanced Persistent Threat (APT) spricht man, wenn qualifizierte Angreifer zum Zweck der Sabotage oder Spionage einen gezielten Angriff durchführen. Solche Akteure sind oft staatlich gesteuert und verfolgen eine politische Agenda.
Ziel eines APT sind in der Regel vertrauliche und hochsensible Geschäftsinformationen, beispielsweise Forschungsergebnisse oder geschützte Herstellungsverfahren, aber auch unternehmenspolitische Entscheidungen. Neben bekannten Großunternehmen aus einer Vielzahl von Branchen werden mehr und mehr Beratungsunternehmen oder spezialisierte mittelständische Unternehmen (z. B. Zulieferer) Opfer solcher Attacken. Der Bedrohungsakteur, der sich an den aktuellen Common-Log-File-System (CLFS)-Exploits versuchte, hat damit diverse kleine und mittelständische Unternehmen im Nahen Osten, in Nordamerika und in asiatischen Regionen angegriffen.
Bei der von Microsoft als CVE-2023-28252 bezeichneten Schwachstelle handelt es sich um einen CLFS-Exploit zur Erhöhung von Berechtigungen. Eine solche Erhöhung von Berechtigungen wird dabei durch die Manipulation des von diesem Subsystem verwendeten Dateiformats ausgelöst. Laut Kaspersky haben unternehmenseigene Experten die Schwachstelle bereits im Februar entdeckt, als sie eine Reihe von Angriffen analysierten, bei denen ähnliche Exploits zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern ausgeführt wurden. Typisch für diese Gruppe von Cyberkriminellen sei dabei gewesen, dass sie sich durch die Verwendung ähnlicher, aber einzigartiger Common-Log-File-System (CLFS)-Exploits ausgezeichnet hätten. Bei Kaspersky hat man nach eigenen Angaben bereits fünf verschiedene Exploits dieser Art gesehen, die unter anderem gegen Unternehmen im Einzel- und Großhandel, im Energiesektor, in der Fertigung, im Gesundheitswesen und in der Softwareentwicklung gerichtet waren.
Die von dem Angriff betroffenen Server gehören verschiedenen kleinen und mittleren Unternehmen im Nahen Osten und in Nordamerika. Bei Kaspersky weist man darauf hin, dass die Sicherheitsexperten dabei auch aufdeckten, dass Cyberkriminelle bei dem Angriff über CVE-2023-28252 erstmals versuchten, eine neuere Version der Nokoyawa-Ransomware einzusetzen. [1] Bei den älteren Varianten dieser Ransomware handelte es sich bisher um „umbenannte“ Varianten der JSWorm-Ransomware. [2] Die nun entdeckte, in den aktuellen Angriffen genutzte Nokoyawa-Variante unterscheidet sich jedoch nach Kaspersky-Angaben in der Codebasis deutlich von JSWorm.
„Früher waren Exploits in erster Linie ein Werkzeug von Advanced Persistent Threat Actors (APTs), aber nun haben auch „gewöhnliche“ Cyberkriminelle die Ressourcen, um Zero-Days zu erwerben und sie routinemäßig für Angriffe einzusetzen“, warnt Boris Larin, Lead Security Researcher im Global Research and Analysis Team bei Kaspersky. Der bei dem Angriff verwendete Exploit wurde augenscheinlich entwickelt, um verschiedene Versionen und Builds von Windows-Betriebssystemen zu attackieren und die Schwachstelle CVE-2023-28252 einzusetzen, um Berechtigungen zu erhöhen und Anmeldeinformationen aus der Security-Account-Manager (SAM)-Datenbank zu entwenden. „Cyberkriminelle Gruppen agieren immer ausgefeilter“, so der Kaspersky-Sicherheitsexperte Larin. „Unternehmen müssen den neuesten Patch von Microsoft so schnell wie möglich einspielen und zusätzliche Schutzmethoden wie EDR-Lösungen verwenden.“
[1] https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
[2] https://securelist.com/evolution-of-jsworm-ransomware/102428/
