En febrero de 2023, se detectaron varios intentos de explotar vulnerabilidades de elevación de privilegios en servidores de Microsoft Windows pertenecientes a pequeñas y medianas empresas en Oriente Medio, América del Norte y Asia. Estas vulnerabilidades eran muy similares a las ya conocidas en el Controlador del Sistema de Archivos de Registro Común (CLFS) que habían sido analizadas anteriormente. Sin embargo, una de las vulnerabilidades resultó ser un zero-day, compatible con diferentes versiones y compilaciones de Windows, incluyendo Windows 11. A pesar de que el código estaba altamente ofuscado, Kaspersky pudo analizarlo y reportar sus hallazgos a Microsoft. La compañía respondió creando un parche que se lanzó el 11 de abril de 2023.
Aunque la mayoría de los zero-days descubiertos en el pasado han sido utilizados por actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés), en este caso, el grupo de ciberdelincuentes que utilizó el zero-day era notable por su uso de un gran número de vulnerabilidades similares pero únicas en el controlador CLFS, lo que sugiere que fueron desarrolladas por el mismo autor de la explotación. Desde junio de 2022, se han identificado cinco exploits diferentes utilizados en ataques a diferentes industrias. Al utilizar el zero-day CVE-2023-28252, el grupo intentó desplegar el ransomware Nokoyawa.
Para explotar la vulnerabilidad, el atacante debía estar autenticado con acceso de usuario y tener la capacidad de ejecutar código en el sistema objetivo.
CLFS es un subsistema de registro que se introdujo por primera vez en Microsoft Windows Server 2003 R2 / Microsoft Vista e implementado en el controlador clfs.sys. Este sistema de archivos puede ser utilizado por cualquier aplicación y Microsoft proporciona una API para ello. Los registros se crean utilizando la función CreateLogFile. Estos registros se componen de un archivo de registro base que es un archivo maestro que contiene metadatos y varios contenedores que contienen los datos reales. Los contenedores se crean utilizando las funciones AddLogContainer y AddLogContainerSet. Aunque Microsoft proporciona una API para trabajar con ellos, el formato de archivo no está documentado y los desarrolladores deben interactuar con ellos sólo a través de la API de CLFS. La estructura de archivos de registro base, vista brevemente en un editor hexadecimal, no parece muy complicada, pero está compuesta por estructuras del kernel y hay incluso campos para almacenar punteros de memoria. Esto, combinado con el hecho de que la tecnología es compleja y antigua, ha resultado en una gran cantidad de vulnerabilidades. La búsqueda de “Windows Common Log File System Driver Elevation Of Privilege Vulnerability” muestra que se han descubierto al menos treinta y dos de estas vulnerabilidades desde 2018, sin contar CVE-2023-28252.
CVE-2023-28252 es una vulnerabilidad de escritura fuera de límites que se puede explotar cuando el sistema intenta extender el bloque de metadatos. La vulnerabilidad se activa mediante la manipulación del archivo de registro base. En este momento, no se comparten detalles adicionales sobre la vulnerabilidad y cómo activarla, ya que esta información puede ser utilizada de manera inapropiada.