En su último informe Patch Tuesday, Microsoft destaca una nueva cepa de una vulnerabilidad corregida en octubre del año pasado que permite obtener privilegios a nivel de sistema para el controlador de archivos de registro común (CLFS)
La publicación de nuevos datos de seguridad por parte de Microsoft en el último de sus informes Patch Tuesday (“Martes de parches”, publicados el segundo martes de cada mes) esta misma semana, incluye un total de 114 vulnerabilidades (CVE), incluyendo 7 calificadas como críticas y una en concreto que ya ha sido explotada activamente en escenarios reales, en la que los expertos de Qualys consideran que podría convertirse en una tendencia.
Identificada como CVE-2023-28252, esta vulnerabilidad permite al atacante obtener privilegios a nivel de sistema de archivos de registro común (Common Log File System, CLFS) de Windows. Los hackers han aprovechado esta vulnerabilidad para implementar el ransomware Nokoyawa, una cepa relativamente nueva que ciertas informaciones relacionan con Hive, una de las familias de ransomware más importantes en los dos últimos años, vinculada a brechas en más de más de 300 organizaciones de todo el mundo en tan sólo unos pocos meses. Si bien aún no está claro quién es el actor de Nokoyawa, se han confirmado objetivos en grandes organizaciones de América del Norte, Sudamérica y Asia, así como en pequeñas empresas de Oriente Medio.
“Esta no es la primera vez que este controlador de Windows es objetivo de los ciberdelincuentes”, afirma Bharat Jogi, responsable de Investigación de Vulnerabilidades y Amenazas de Qualys. “Ya el pasado mes de septiembre, Microsoft corrigió otra vulnerabilidad (CVE-2022-37969), que se sabía que se explotaba en el mundo real, que afectaba a este mismo componente”. Esta vulnerabilidad fue aprovechada por los hackers para obtener privilegios una vez que contaron con un punto de apoyo en el sistema.
En cuanto a las vulnerabilidades críticas corregidas por Microsoft en este nuevo Patch Tuesday, destacan dos en concreto (CVE-2023-28250 y CVE-2023-21554) que afectaban al servicio Message Queue Server de Windows, y si bien ninguna de las dos ha sido explotada aún en escenarios reales, el riesgo sigue siendo alto, ya que tienen una puntuación CVSSv3 de 9,8 sobre 10 y pueden ser utilizadas como gusanos (malware que se propaga por sí mismo a través de las redes y entre ellas). Por último, Microsoft solucionaba otros fallos críticos, que desde Qualys se recomienda ejecutar como prioridad en las labores de parcheo.
“Los pocos meses que han pasado desde que comenzó este año 2023 confirman que el impacto del malware sigue al alza, y vemos cómo los ciberdelincuentes utilizan y reutilizan aquellas puertas de entrada que les proporcionan un mayor control”, explica Sergio Pedroche, Country Manager de Qualys Iberia. “Una solución a esta difícil situación es adoptar sistemas de visibilidad, monitorización y gestión de activos; además, por supuesto, de un parcheado exhaustivo y una capacidad de respuesta adecuada”.
