Microsoft hat eine Zero-Day-Schwachstelle gepatcht, die alle unterstützten Versionen von Windows betrifft und die laut Forschern von Hackern ausgenutzt wurde, um Ransomware-Angriffe zu starten.
Microsoft genannt in einer Sicherheitswarnung vom Dienstag, dass ein Angreifer, der die Schwachstelle im Windows Common Log File System (CLFS) erfolgreich ausnutzt, vollen Zugriff auf ein ungepatchtes System erlangen könnte. Microsoft bestätigte, dass Angreifer die Schwachstelle aktiv ausnutzen.
Russisches Cybersicherheitsunternehmen Kaspersky sagt Der Fehler wurde verwendet, um Nokoyawa-Ransomware bereitzustellen, die hauptsächlich auf Windows-Server abzielte, die kleinen und mittleren Unternehmen mit Sitz im Nahen Osten, Nordamerika und Asien gehörten.
Kaspersky sagt in seiner Analyse der Schwachstelle, dass der Zero-Day auffällt, weil er von finanziell motivierten Cyberkriminellen aktiv ausgenutzt wird.
„Cyberkriminalitätsgruppen werden immer raffinierter und verwenden bei ihren Angriffen Zero-Day-Exploits“, sagt Boris Larin, leitender Sicherheitsforscher bei Kaspersky. „Früher waren sie in erster Linie ein Werkzeug von APT-Akteuren, aber jetzt haben Cyberkriminelle die Ressourcen, um Zero-Days zu erwerben und sie routinemäßig für Angriffe einzusetzen.“
Nokoyawa wurde erstmals im Februar 2022 beobachtet und soll mit der inzwischen aufgelösten Hive-Ransomware-Gang in Verbindung stehen, die die Strafverfolgungsbehörden im Januar infiltrierten und ausschalteten. „Die beiden Familien teilen einige bemerkenswerte Ähnlichkeiten in ihrer Angriffskette, von den verwendeten Tools bis hin zur Reihenfolge, in der sie verschiedene Schritte ausführen“, Trend Micro genannt in einer damaligen Analyse.
Die Nokoyawa-Malware verschlüsselt Dateien auf Systemen, die sie kompromittiert, aber die Betreiber behaupten auch, wertvolle Informationen zu stehlen, die sie zu verlieren drohen, wenn kein Lösegeld gezahlt wird.
Die US-Cybersicherheitsbehörde CISA hat die neu gepatchte Windows-Schwachstelle in ihre Liste aufgenommen Katalog bekannter ausgenutzter Schwachstellen und forderte die Bundesbehörden auf, die Systeme vor dem 2. Mai zu aktualisieren.
Microsoft hat im Rahmen seines regelmäßig geplanten Patch Tuesday-Updates fast 100 Fehler behoben. Der Technologieriese hat auch einen Fehler bei der Ausführung von Remote-Code behoben, der es einem entfernten, nicht authentifizierten Angreifer ermöglichen könnte, seinen Code mit erhöhten Rechten auf betroffenen Servern mit aktiviertem Message Queuing-Dienst von Microsoft auszuführen.