A Microsoft corrigiu uma vulnerabilidade de dia zero que afeta todas as versões suportadas do Windows, que os pesquisadores dizem que os hackers exploraram para lançar ataques cibernéticos.
A Microsoft disse em um alerta de segurança na terça-feira que um invasor que explorou com sucesso a vulnerabilidade no Windows Common Log File System (CLFS) poderia obter acesso total a um sistema não corrigido. A Microsoft confirmou que os invasores estavam explorando ativamente a vulnerabilidade.
A empresa russa de segurança cibernética Kaspersky diz que a falha foi usada para implantar o ransomware Nokoyawa, visando predominantemente servidores Windows pertencentes a pequenas e médias empresas com sede no Oriente Médio, América do Norte e Ásia.
Em sua análise da vulnerabilidade, a Kaspersky diz que o dia zero se destaca porque é ativamente explorado por criminosos cibernéticos motivados financeiramente.
“Grupos de crimes cibernéticos estão se tornando cada vez mais sofisticados usando explorações de dia zero em seus ataques”, disse Boris Larin, principal pesquisador de segurança da Kaspersky. “Anteriormente, eles eram principalmente uma ferramenta de atores APT, mas agora os cibercriminosos têm recursos para adquirir zero-days e usá-los rotineiramente em ataques.”
Nokoyawa foi observado pela primeira vez em fevereiro de 2022 e acredita-se que esteja conectado à agora extinta gangue de ransomware Hive, que a polícia se infiltrou e fechou em janeiro. “As duas famílias compartilham algumas semelhanças impressionantes em sua cadeia de ataque, desde as ferramentas usadas até a ordem em que executam várias etapas”, disse a Trend Micro em uma análise na época.
O malware Nokoyawa criptografa arquivos nos sistemas que compromete, mas os operadores também afirmam roubar informações valiosas que ameaçam vazar, a menos que um resgate seja pago.
A agência de segurança cibernética dos EUA CISA adicionou a vulnerabilidade recém-corrigida do Windows ao seu conhecido catálogo de vulnerabilidades exploradas e instou as agências federais a atualizar os sistemas antes de 2 de maio.
A Microsoft corrigiu quase 100 falhas como parte de sua atualização regular do Patch Tuesday. A gigante da tecnologia também corrigiu uma falha de execução remota de código que poderia permitir que um invasor remoto e não autenticado executasse seu código com privilégios elevados em servidores afetados com o serviço de enfileiramento de mensagens da Microsoft ativado.