Microsoft corrige el error de día cero de Windows utilizado en los ataques de ransomware
Microsoft ha parcheado una vulnerabilidad de día cero que afecta a todas las versiones compatibles de Windows, que los investigadores dicen que los piratas informáticos han aprovechado para lanzar ataques de ransomware.
microsoft ha dicho en una alerta de seguridad el martes que un atacante que explotó con éxito la vulnerabilidad del Sistema de archivos de registro comunes de Windows (CLFS) podría obtener acceso completo a un sistema sin parches. Microsoft ha confirmado que los atacantes están explotando activamente la vulnerabilidad.
Empresa rusa de ciberseguridad Kaspersky dicho la falla se usó para implementar el ransomware Nokoyawa, principalmente dirigido a servidores Windows pertenecientes a pequeñas y medianas empresas con sede en Medio Oriente, América del Norte y Asia.
En su análisis de la vulnerabilidad, Kaspersky dice que el día cero se destaca porque los ciberdelincuentes con fines financieros lo explotan activamente.
«Los grupos de ciberdelincuencia se están volviendo cada vez más sofisticados en el uso de exploits de día cero en sus ataques», dijo Boris Larin, investigador principal de seguridad de Kaspersky. «Anteriormente, eran principalmente una herramienta de los actores APT, pero ahora los ciberdelincuentes tienen los recursos para adquirir los días cero y usarlos regularmente en los ataques».
Nokoyawa se observó por primera vez en febrero de 2022 y se cree que está vinculado a la ahora desaparecida banda de ransomware Hive, en la que las fuerzas del orden se infiltraron y cerraron en enero. «Las dos familias comparten sorprendentes similitudes en su cadena de ataque, desde las herramientas utilizadas hasta el orden en que realizan los distintos pasos», dijo Trend Micro. ha dicho en un análisis de la época.
El malware Nokoyawa encripta archivos en los sistemas que compromete, pero los operadores también afirman robar información valiosa que amenazan con divulgar a menos que se pague un rescate.
La agencia de ciberseguridad de EE. UU. CISA ha agregado la vulnerabilidad de Windows recientemente parcheada a su catálogo de vulnerabilidades conocidas explotadas e instó a las agencias federales a actualizar los sistemas antes del 2 de mayo.
Microsoft ha reparado casi 100 fallas como parte de su actualización regular de Patch Tuesday. El gigante tecnológico también corrigió una falla de ejecución remota de código que podría permitir que un atacante remoto no autenticado ejecute su código con privilegios elevados en los servidores afectados con el servicio Message Queuing de Microsoft habilitado.