Alon Schwartz, Security Analyst bei Logpoint
Nicht immer sind die Dinge so offensichtlich wie in diesem Fall. Eine bislang unbekannte Microsoft Zero Day-Schwachstelle und eine Ransomware-Gruppe, die diese kennt und ausnutzt, das ist eine unheilige Allianz für jede IT-Sicherheitsabteilung. Im Falle der Schwachstelle CVE-2023-28252 und der Nokoyawa Ransomware ist dieser Fall nun aufgetreten.
Aufgedeckt von Kaspersky-Forschern erklärten diese inzwischen, dass es sich bei CVE-2023-28252 um eine Out-of-Bounds-Write-Schwachstelle (Inkrement) handelt. Sie wird ausgenutzt, wenn das System versucht, den Metadatenblock zu erweitern. Der Exploit ermöglicht die Veränderung der Basisprotokolldatei und zwingt das System im Gegenzug dazu, ein gefälschtes Element dieser Datei als echtes Element zu behandeln. Dazu wird der Offset-Wert, der auf eine bestimmte Struktur des Common Log File System (CLFS) im Speicher verweist, in einen Offset geändert, der auf eine böswillig erstellte Struktur verweist. Diese bietet einen Zeiger auf einen kontrollierten Speicher auf Benutzerebene und erlangt damit Kernel-Lese-/Schreibrechte. CLFS-Strukturen sind Teil des von Windows-Betriebssystemen verwendeten Mehrzweck-Protokollierungssystems CLFS, das aus physischen Protokolldateien, Protokollströmen, Protokolldatensätzen und mehr besteht.
Die Nokoyawa-Ransomware tauchte im März 2022 als 64-Bit-Windows-Ransomware-Familie auf, die in ihrer Angriffskette auffällige Ähnlichkeiten mit Hive aufweist. Die erste Version der Ransomware wurde in der Programmiersprache C entwickelt, während die späteren Versionen in Rust geschrieben sind und Elliptic Curve Cryptography (ECC) mit Curve25519 und Salsa20 für die Dateiverschlüsselung verwenden und Befehlszeilenargumente erfordern. Die Bedrohungsakteure verschaffen sich den ersten Zugang zum Zielsystem durch Phishing mit bösartigen Anhängen, durchgesickerte oder kompromittierte Anmeldedaten und mehr. Sobald die Angreifer sicher sind, dass das gesamte Netzwerk kompromittiert wurde und die notwendigen Unternehmensdaten exfiltriert wurden, wird die Ransomware ausgeliefert und der Verschlüsselungsprozess eingeleitet. Sobald der Vorgang abgeschlossen ist, erscheint eine Meldung, die die Benutzer über den Vorfall in ihrem System informiert, sowie ein URL-Link zu einem Portal, um mit dem Support zu chatten, und Richtlinien als Warnung.
Inzwischen ist von Microsoft ein Patch verfügbar gemacht worden. Sollte dennoch ein Patching nicht sofort möglich ist, kann die Bedrohung durch die Umsetzung der folgenden zehn bewährten Sicherheitsverfahren weitgehend eingedämmt werden:
- Regelmäßiges Scannen und Bewerten der Unternehmensressourcen auf Schwachstellen und Fehlkonfigurationen, um sie zu patchen sowie die Aktualisierung von Betriebssystemen, Firmware und Anwendungen.
- MFA und Phishing-Schutz sowohl für Benutzer- als auch für Administratorkonten konsequent durchsetzen.
- Einführung des Least Privilege-Prinzips und Zugriffe zeitlich begrenzen.
- Simulierte Angriffsszenarien durchführen, um sicherzustellen, dass sich die Mitarbeiter der Phishing- und anderer Risiken bewusst sind, und um zu gewährleisten, dass sie den Vorfall dem internen Cybersicherheitsteam melden.
- Netzwerksegmentierung durchsetzen, um die Ausbreitung zu verhindern und die Auswirkungen zu begrenzen.
- Einsatz von Endpunktschutzplattformen (EPPs) um Endpunktgeräte zu schützen, und stellen Sie sicher, dass sie auf dem neuesten Stand sind, richtig konfiguriert sind und bei Deaktivierung Warnungen auslösen.
- Regelmäßig verschlüsselte Offline-Backups erstellen und pflegen sowie deren Verfügbarkeit durch regelmäßige Wiederherstellungsversuche sicherstellen.
- Regelmäßige Überprüfung der Sicherheitslage von Drittanbietern, die mit dem Unternehmen verbunden sind.
- Nach durchgesickerten Anmeldeinformationen auf Malware-Datenleak-Seiten suchen und entsprechende Änderungen vornehmen.
- Kontinuierliche Überwachung kritischer Unternehmensressourcen mit einer Kombination aus Tools wie eine SIEM-Plattform.
Fazit
Patches springen ein, um ein IT-System vor möglichen Schäden zu schützen, besonders bei Zero-Day-Schwachstellen. Ohne diese rechtzeitigen Aktualisierungen sind diese Systeme möglicherweise angreifbar, so dass personenbezogene Informationen und sensiblen Daten gefährdet sind. Da die Zahl und die Raffinesse von Cyberkriminellen erheblich zugenommen haben, ist ein proaktiver Erkennungsansatz für Sicherheitsanalysten in Unternehmen von elementarer Bedeutung. Unternehmen sollten die Infrastruktur überwachen, um Vorfälle zu erkennen, und Automatisierungsfunktionen nutzen, die die Zeit bis zur Erkennung verkürzen und die Auswirkungen von Sicherheitsereignissen verringern können.
Mehr lesen Interessierte hier: https://www.logpoint.com/en/blog/cve-2023-28252-and-nokoyawa-ransomware/
