Kaspersky uzmanları, Şubat ayında Microsoft Ortak Günlük Dosyası Sistemi’ndeki (Microsoft Common Log File System – CLFS) sıfır gün açığını kullanan bir saldırı tekniği keşfetti.
Kaspersky tarafından keşfedilen açıkların çoğu gelişmiş tehdit grupları (APT’ler) tarafından kullanılırken, yeni açığın fidye yazılımı saldırıları gerçekleştiren sofistike bir grup tarafından siber suç amacıyla kullanıldığı ortaya çıktı. Bu grup, birbirine yakın olsa da her biri benzersiz Ortak Günlük Dosya Sistemi (CLFS) açıklarını kullanmasıyla dikkat çekiyor. Kaspersky bu türden en az beş farklı açıkla karşılaştı. Bunlar perakende, toptan satış, enerji, üretim, sağlık, yazılım geliştirme ve diğer sektörlere yönelik saldırılarda kullanıldı.
Microsoft, keşfedilen sıfır gün açığına CVE-2023-28252 kodunu atadı. Bu, bu alt sistem tarafından kullanılan dosya formatının manipüle edilmesiyle tetiklenen Ortak Günlük Dosya Sistemi ayrıcalık yükseltme güvenlik açığına karşılık geliyor. Kaspersky araştırmacıları, Orta Doğu ve Kuzey Amerika bölgelerindeki farklı küçük ve orta ölçekli işletmelere ait Microsoft Windows sunucularında benzer ayrıcalık yükseltme açıklarını çalıştırmaya yönelik bir dizi girişimle ilgili ek kontroller sırasında, bu açığı Şubat ayında ortaya çıkardı.
CVE-2023-28252 ilk olarak Kaspersky tarafından siber suçluların Nokoyawa fidye yazılımının yeni bir sürümünü dağıtmaya çalıştıkları bir saldırıda tespit edildi. Normalde bu fidye yazılımının eski varyantları JSWorm fidye yazılımının sadece yeniden markalanmış hallerinden oluşuyordu. Ancak yukarıda bahsedilen saldırıda Nokoyawa varyantı kod tabanı açısından JSWorm’dan oldukça farklıydı.
