“Microsoft: banda de ransomware aprovecha vulnerabilidad zero-day en CLFS de Windows”
Publicado enNoticias

“Microsoft: banda de ransomware aprovecha vulnerabilidad zero-day en CLFS de Windows”

No hay comentarios

Explotación de vulnerabilidad zero-day en CLFS de Windows por el grupo RansomEXX

Microsoft ha confirmado que la banda de ransomware RansomEXX ha estado explotando una vulnerabilidad de alta gravedad (zero-day) en el Common Log File System (CLFS) de Windows. Este fallo permite a los atacantes escalar privilegios hasta obtener acceso a nivel SYSTEM, lo que facilita el despliegue de ransomware en sistemas comprometidos.

Detalles técnicos de la vulnerabilidad

El Common Log File System (CLFS) es un subsistema de Windows diseñado para gestionar registros de alto rendimiento utilizados por aplicaciones y servicios del sistema operativo. La vulnerabilidad, identificada como CVE-2023-28252, es un fallo de tipo use-after-free en el controlador clfs.sys. Este tipo de vulnerabilidad ocurre cuando un programa continúa utilizando un puntero a memoria después de haberla liberado, permitiendo a un atacante ejecutar código arbitrario con privilegios elevados.

  • Tipo de vulnerabilidad: Use-after-free (UAF).
  • Componente afectado: Controlador clfs.sys.
  • Impacto: Escalada de privilegios a nivel SYSTEM.
  • Sistemas afectados: Versiones recientes de Windows 10 y Windows 11.

Modus operandi de RansomEXX

El grupo RansomEXX, conocido por ataques dirigidos contra organizaciones gubernamentales y empresas, ha integrado esta explotación en su cadena de ataque. El proceso típico incluye:

  • Acceso inicial mediante phishing o explotación de otras vulnerabilidades.
  • Uso de la vulnerabilidad en CLFS para elevar privilegios.
  • Despliegue del ransomware y cifrado de archivos críticos.
  • Extorsión mediante demandas de rescate en criptomonedas.

Implicaciones de seguridad

La explotación de esta vulnerabilidad representa un riesgo significativo debido a:

  • Alcance del privilegio: Obtener derechos SYSTEM permite a los atacantes desactivar herramientas de seguridad, manipular registros y persistir en el sistema.
  • Difícil detección: Los ataques que aprovechan vulnerabilidades en componentes del núcleo de Windows pueden evadir soluciones de seguridad tradicionales.
  • Uso en ataques reales: La explotación activa por parte de grupos como RansomEXX aumenta la urgencia de aplicar parches.

Recomendaciones de mitigación

Microsoft ha lanzado un parche para esta vulnerabilidad en su actualización de seguridad de abril de 2023. Las organizaciones deben:

  • Aplicar inmediatamente la actualización correspondiente a sus sistemas Windows.
  • Implementar controles de acceso estrictos y monitoreo de actividades sospechosas.
  • Capacitar al personal en identificación de intentos de phishing.
  • Utilizar soluciones EDR/XDR para detectar comportamientos anómalos.

Para más detalles sobre la vulnerabilidad y su explotación, consulta la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta