{"id":12241,"date":"2023-04-20T11:30:22","date_gmt":"2023-04-20T16:30:22","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=12241"},"modified":"2023-04-20T11:30:27","modified_gmt":"2023-04-20T16:30:27","slug":"vulnerabilidad-de-dia-cero-en-microsoft-windows-es-utilizada-en-ataques-del-ransomware-nokoyawa","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/vulnerabilidad-de-dia-cero-en-microsoft-windows-es-utilizada-en-ataques-del-ransomware-nokoyawa\/","title":{"rendered":"Vulnerabilidad de d\u00eda cero en Microsoft Windows es utilizada en ataques del ransomware Nokoyawa"},"content":{"rendered":"\n

En febrero, los expertos de Kaspersky <\/strong>descubrieron<\/strong><\/a> un ataque que utilizaba una vulnerabilidad de d\u00eda cero en el sistema de archivos de registro com\u00fan (CLFS, por sus siglas en ingl\u00e9s) de Microsoft. Un grupo de cibercriminales utiliz\u00f3 un exploit<\/em> desarrollado para diferentes versiones y compilaciones del sistema operativo Windows, incluido Windows 11, e intent\u00f3 ejecutar el ransomware Nokoyawa. Microsoft asign\u00f3 CVE-2023-28252 a esta vulnerabilidad y la corrigi\u00f3 ayer como parte del \u201cMartes de parches\u201d. El agente de amenazas tambi\u00e9n intent\u00f3 ejecutar exploits<\/em> similares de elevaci\u00f3n de privilegios en ataques a peque\u00f1as y medianas empresas en el Medio Oriente, Am\u00e9rica del Norte y, anteriormente, en regiones de Asia.<\/strong><\/p>\n\n\n\n

Si bien la mayor\u00eda de las vulnerabilidades descubiertas por Kaspersky son utilizadas por Amenazas Persistentes Avanzadas (APTs por sus siglas en ingl\u00e9s), \u00e9sta result\u00f3 ser explotada con fines cibercriminales por un sofisticado grupo que lanza ataques de ransomware. Este grupo se destaca por el uso de exploits<\/em> similares pero \u00fanicos del sistema de archivos de registro com\u00fan (CLFS). Kaspersky ha registrado al menos cinco exploits<\/em> diferentes de este tipo, utilizados en ataques contra comercios minoristas y mayoristas, industrias de energ\u00eda, manufactura, instituciones m\u00e9dicas, desarrollo de software, entre otras.<\/p>\n\n\n\n

Microsoft asign\u00f3 CVE-2023-28252 al d\u00eda cero descubierto. Esta es la vulnerabilidad de elevaci\u00f3n de privilegios del sistema de archivos de registro com\u00fan que se desencadena por la manipulaci\u00f3n del formato de archivo utilizado por este subsistema. Los investigadores de Kaspersky descubrieron la vulnerabilidad en febrero como resultado de verificaciones adicionales a una serie de intentos para ejecutar ataques de elevaci\u00f3n de privilegios similares en servidores Microsoft Windows pertenecientes a peque\u00f1as y medianas empresas en las regiones de Medio Oriente y Am\u00e9rica del Norte.<\/p>\n\n\n\n

Kaspersky detect\u00f3 a CVE-2023-28252 por primera vez en un ataque en el que los ciberdelincuentes intentaron implementar una versi\u00f3n actualizada del ransomware Nokoyawa. Las versiones anteriores de este ransomware eran simplemente variantes \u201crebautizadas\u201d del ransomware JSWorm<\/a>. Sin embargo, en el ataque mencionado anteriormente, la variante Nokoyawa era bastante distinta al JSWorm en lo que se refiere al c\u00f3digo base.<\/p>\n\n\n\n

La vulnerabilidad utilizada en el ataque se desarroll\u00f3 para soportar diferentes versiones y builds<\/em> o compilaciones del sistema operativo Windows, incluido Windows 11. Los atacantes utilizaron la vulnerabilidad CVE-2023-28252 para elevar los privilegios y robar credenciales de la base de datos del Administrador de Cuentas de Seguridad (SAM, por sus siglas en ingl\u00e9s).<\/p>\n\n\n\n

\u201cLos grupos cibercriminales son cada vez m\u00e1s sofisticados en el uso de exploits de d\u00eda cero en sus ataques. Antes, estos eran principalmente una herramienta de los agentes de amenazas persistentes avanzadas (APT), pero ahora, los ciberdelincuentes tienen los recursos para adquirir los d\u00edas cero y usarlos rutinariamente en ataques. Tambi\u00e9n hay programadores de exploits dispuestos a ayudarlos y desarrollarlos constantemente. Es muy importante que las empresas descarguen el parche m\u00e1s reciente de Microsoft lo antes posible y utilicen otros m\u00e9todos de protecci\u00f3n, como las soluciones EDR\u201d, comenta <\/em><\/a>Boris Larin, investigador principal de Seguridad del Equipo de Investigaci\u00f3n y An\u00e1lisis de Kaspersky.<\/strong><\/p>\n\n\n\n

Los productos de Kaspersky detectan y protegen contra la explotaci\u00f3n de la vulnerabilidad mencionada, as\u00ed como del malware relacionado.<\/p>\n\n\n\n

Para proteger a su organizaci\u00f3n contra ataques que se aprovechan de esta vulnerabilidad, los expertos de Kaspersky recomiendan:<\/p>\n\n\n\n