Microsoft livre son Patch Tuesday pour ce mois d'avril. Au programme, la correction de 97 vulnérabilités de sécurité, dont sept sont jugées critiques. Référencée CVE-2023-28252, une faille a par ailleurs fait l'objet d'une exploitation active dans des attaques, alors qu'un correctif n'était pas disponible.

De type élévation de privilèges, la vulnérabilité CVE-2023-28252 affecte Windows et le pilote Common Log File System pour le service de journalisation à usage général du système d'exploitation. " Un attaquant qui parvient à exploiter cette vulnérabilité peut obtenir les privilèges système ", écrit Microsoft.

Il y a comme un air de déjà-vu avec une vulnérabilité CVE-2023-23376 corrigée lors du Patch Tuesday pour le mois de février. À l'époque, il s'agissait également d'une vulnérabilité 0-day. Est-ce à dire que la correction proposée deux mois auparavant n'était pas suffisamment robuste et a pu être contournée ?

Pour le déploiement du ransomware Nokoyawa

La découverte de la vulnérabilité CVE-2023-28252 est attribuée à des chercheurs en sécurité de DBAPPSecurity WeBin Lab, Mandiant et Kasperky. Selon Boris Larin de Kaspersky GReAT (Global Research & Analysis Team), qui se focalise notamment sur les menaces persistantes avancées (APT), cette faille est exploitée dans le cadre d'attaques par ransomware.

En l'occurrence, il est question du déploiement du ransomware dénommé Nokoyawa en tant que charge utile finale. Si Nokoyawa a pu être une variante du ransomware JSWorm, c'est une version au code différent dans les nouvelles attaques qui sont menées.

patch

En février dernier, Kaspersky souligne avoir détecté des tentatives d'exécution d'exploits similaires d'élévation de privilèges sur des serveurs Windows de petites et moyennes entreprises au Moyen-Orient, en Amérique du Nord et précédemment dans des régions d'Asie. Ils permettent ensuite de voler des identifiants d'une base de données.