Tra le numerose problematiche di sicurezza emerse quest’anno, la CVE-2023-28252 si è rivelata particolarmente critica, colpendo il sistema Common Log File System (CLFS) dei sistemi Windows. Questa vulnerabilità di sicurezza, scoperta ad aprile permette un’elevazione di privilegi a chi la sfrutta e proprio in funzione della sua criticità ha catalizzato l’attenzione e richiesto una patch correttiva da parte di Microsoft.
Nel seguente articolo, esploreremo la natura tecnica della vulnerabilità, le implicazioni per gli utenti e i sistemi interessati e come l’azienda ha risposto per mitigare i rischi associati.
Cos’è la CVE-2023-28252?
La CVE-2023-28252 è una vulnerabilità di elevazione di privilegi che incide sul driver CLFS.sys presente all’interno della cartella system32 di Windows. Questo difetto consente ad un attaccante, che abbia già accesso al sistema come utente base, di eseguire codice con privilegi di sistema, il livello più alto di privilegi su Windows.
Impatto
Classificata con un punteggio CVSS di 7.8, questa vulnerabilità è stata valutata come “importante” per la sua criticità.
Il vettore di attacco è locale, il che significa che l’attaccante necessita di un accesso al sistema per sfruttare la vulnerabilità.
Tuttavia, la combinazione di un basso livello di complessità dell’attacco e la non necessità di interazione da parte dell’utente rende questa vulnerabilità particolarmente preoccupante.
Come è stata scoperta?
Ricercatori di sicurezza, inclusi quelli di Kaspersky e di Mandiant, hanno identificato attacchi attivi che sfruttavano questa vulnerabilità, in particolare con il ransomware Nokoyawa. Questo ransomware aveva precedentemente attirato l’attenzione per il suo uso di un altro exploit mirato al driver CLFS già dal giugno 2022.
Ransomware Nokoyawa
Nokoyawa malware è un ransomware scoperto a febbraio 2023 che sfruttava esattamente gli exploit di elevazione dei privilegi associati al driver del sistema di file di registro comune di Windows, noto come Common Log File System (CLFS).
Si tratta di una famiglia emergente di ransomware che ha guadagnato notorietà per il suo utilizzo ingegnoso di vulnerabilità zero-day, come per l’appunto la CVE-2023-28252, per lanciare attacchi mirati. Considerato che il sistema CLFS resta una componente poco conosciuta di Windows, possiamo avanzare un’ipotesi circa il gruppo di attaccanti che ha identificato questa falla e sapientemente ha trovato un modo per sfruttarla per accedere ai sistemi delle aziende vittima: si tratta di un gruppo di criminali estremamente competenti.
In aggiunta possiamo dirvi che questo ransomware affonda le sue radici in analogie metodologiche con il ben noto Hive ransomware e pertanto, rappresenta una seria minaccia per le imprese, in particolare le PMI.
Analisi tecnica
La vulnerabilità CVE-2023-28252 si colloca all’interno del driver CLFS.sys, componente fondamentale per la gestione dei file di registro in ambienti Windows. Le ricerche condotte da Kaspersky hanno rivelato che la falla è sfruttata da un’operazione di scrittura fuori dai limiti quando il sistema estende un blocco di metadati all’interno di un file di registro di base (con estensione .blf).
Il driver CLFS, essenziale per vari servizi e funzionalità di Windows, gestisce log strutturati che sono fondamentali per il corretto funzionamento di numerosi processi di sistema. Un punto chiave dell’exploit risiede nel processo di estensione di questi blocchi di metadati, dove la funzione CClfsBaseFilePersisted: :ExtendMetadataBlock è invocata tramite una chiamata all’API AddLogContainer. Questo processo richiede un’interazione diretta con il file .blf, il cui formato non è completamente documentato e si presta quindi a essere un vettore di attacco ideale.
La vulnerabilità si manifesta quando modifiche specifiche vengono introdotte all’interno dei blocchi di metadati CONTROL e CONTROL_SHADOW.
Gli attaccanti manipolano campi quali LogBlockHeader->ValidSectorCount e LogBlockHeader->Record[0], innescando così un accesso fuori limite all’array m_rgBlocks. Tale array contiene solamente sei elementi, ma a seguito dell’exploit, si verifica un tentativo di lettura o scrittura oltre questi confini, il che può portare a una corruzione di memoria.
La manipolazione di questi file permette agli aggressori di corrompere strutture del kernel e potenzialmente ottenere privilegi a livello di sistema.
Ciò si realizza modificando l’offset che punta a una struttura _CLFS_CONTAINER_CONTEXT legittima in un offset che indirizza verso una struttura dannosa.
Il risultato è l’assegnazione di un puntatore che indirizza a memoria controllata dall’utente, permettendo così agli attaccanti di ottenere privilegi di lettura e scrittura nel kernel.
L’exploit sfrutta questa vulnerabilità per corrompere un oggetto del file di registro di base appositamente predisposto, causando che un elemento falso del file di registro venga trattato come autentico. Tali indirizzi vengono poi utilizzati per sovrascrivere strutture critiche di sicurezza, come i token di accesso, per ottenere un’escalation di privilegio.
La patch di Microsoft
In risposta, Microsoft ha rilasciato aggiornamenti di sicurezza durante il “Patch Tuesday” di aprile 2023. Questi aggiornamenti hanno affrontato la falla nel driver CLFS, mitigando il rischio di sfruttamento futuro della vulnerabilità.
Come proteggersi?
La mitigazione efficace della CVE-2023-28252 richiede una serie di azioni proattive da parte degli amministratori di sistema.
In primis, la patch rilasciata da Microsoft l’11 aprile 2023, parte dell’aggiornamento periodico noto come Patch Tuesday, rappresenta il primo e più cruciale passo verso la protezione dei sistemi dalla minaccia. La sua applicazione tempestiva è essenziale per precludere agli attaccanti la possibilità di sfruttare questa falla.
Oltre all’aggiornamento software, è imperativo adottare altre soluzioni di prevenzione.
Gli amministratori di sistema devono effettuare scansioni di sicurezza regolari e audit di configurazione per individuare eventuali anomalie o modifiche sospette ai file di registro .blf. Inoltre, la segmentazione della rete e l’isolamento dei sistemi critici possono prevenire la diffusione laterale di un attacco.
Infine, ma non meno importante, le organizzazioni devono avere piani di risposta agli incidenti ben definiti e testati. Questo assicura che, in caso di sfruttamento della vulnerabilità, le misure di contenimento possano essere attivate rapidamente per limitare il danno e ripristinare i servizi critici con il minimo impatto operativo.
In conclusione
La CVE-2023-28252 serve da promemoria su quanto sia essenziale mantenere i sistemi aggiornati e monitorati. In un’era dove le minacce informatiche sono sempre più sofisticate, un approccio proattivo alla sicurezza informatica non è solo raccomandato, ma necessario.
La vulnerabilità evidenzia anche il valore critico della divulgazione responsabile e del lavoro collaborativo tra ricercatori e fornitori di software. Il caso di CVE-2023-28252 dimostra quanto sia vitale per la comunità informatica lavorare insieme per rafforzare le difese contro gli attori malintenzionati.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.