吳明宜微軟昨 (11) 日修補 Windows 通用紀錄檔案系統 (Windows Common Log File System, CLFS) 一個遭駭客升級權限並散佈 Nokoyawa 勒索軟體的零時差漏洞。
編號 CVE-2023-28252 的漏洞是由 Mandiant 及 DBAPPSecurity 研究人員發現及通報。美國網路安全暨基礎架構安全管理署 (CISA) 已將該漏洞列入其已知濫用漏洞清單中,要求美聯邦政府部門在 5 月 2 日前修補漏洞。
本漏洞影響所有 Windows 伺服器及用戶端版本,本地攻擊者可透過低複雜性的攻擊手法,不需使用者互動即可加以濫用。成功攻擊者可將一般權限提升為系統管理員權限,控制目標 Windows 系統。
微軟是在本月 Patch Tuesday 安全更新中,修補包含 CVE-2023-28252 和其他 96 項安全漏洞。本月修補的漏洞中,高達 45 個為遠端程式碼執行(RCE)漏洞。
安全廠商卡巴斯基全球研究與分析小組(GReAT)也偵測到 Nokoyawa 勒索軟體對 CVE-2023-28252 的攻擊。該公司二月間調查中東及北美中小企業多起類似的 Windows Server 權限升級攻擊行動中,因屬性不同的受害企業而發現到這隻勒索軟體。
Nokoyawa 勒索軟體首見於 2022 年 2 月,當時駭客鎖定 64-bit Windows 系統進行雙重勒索,即加密檔案勒索贖金,若受害者不從則將檔案公諸於世。 Nokoyawa 一開始以 C 語言撰寫,和 JSWorm 、 Karma 及 Nemty 等勒索軟體有許多重疊,但去年秋天又被以 Rust 改寫成為新版本。
根據研究,使用 Nokoyawa 的駭客組織去年 6 月也曾濫用過其他工具來攻擊 CLFS 驅動程式,兩者很像,但並非同一個。這個組織還用過至少 5 種 CLFS 攻擊工具,受害產業包括批發、零售、能源、製造、醫療和軟體開發等。
卡巴斯基研究人員表示,從 2018 年以來微軟已修補至少 32 項本地權限升級漏洞,其中 3 個還是在修補前即被攻擊的零時差漏洞。這顯示駭客已經愈來愈精於發動零時差漏洞,過去主要是國家駭客才會使用,但現在愈來愈多網路罪犯已擁有取得這些漏洞的資源,並用它來攻擊企業。