Microsoft hat beim Update-Dienstag am 11. April unter anderem die Sicherheitslücke CVE-2023-28252 im Treiber des gemeinsamen Protokolldateisystems gestopft. Eine ähnliche Schwachstelle musste Microsoft bereits im Februar beseitigen. Beides waren 0-Day-Lücken, sie wurden erst dadurch entdeckt, dass Kriminelle sie ausgenutzt haben, um Rechner mit Ransomware zu verseuchen.
Der russische Antivirushersteller Kaspersky hat die im April geschlossene 0-Day-Lücke bei der Analyse von Malware-Angriffen aufgedeckt und an Microsoft gemeldet. Genau genommen sind die Täter also die Entdecker der Lücke, sofern sie die Erkenntnisse nicht bei Dritten eingekauft kaufen. Die Kaspersky-Spezialisten haben bei der Untersuchung der Angriffsmethodik festgestellt, dass die gleiche Tätergruppe bereits früher Schwachstellen im Treiber des gemeinsamen Protokolldateisystems (clfs.sys) ausgenutzt haben. Während bei früheren Attacken Schadsoftware wie Cobalt Strike Beacon oder das modulare Trojanische Pferd Pipemagic zum Einsatz kamen, haben die Täter jüngst die Ransomware Nokoyawa eingeschleust.
Das so genannte gemeinsame Protokolldateisystem (Common Log File System, CLFS) ist ein schon recht betagtes Konstrukt. Microsoft hat es zu Zeiten von Windows Server 2003 R2 und Vista eingeführt. Microsoft bietet zwar ein Programmierschnittstelle (API) für die Nutzung des CLFS, die Struktur des Systems ist jedoch weitgehend undokumentiert. Es besteht aus einem Hauptcontainer (base log file, Dateiendung .blf) mit Metadaten und mehreren weiteren Containern, die die eigentlichen Daten aufnehmen.
▶Die neuesten Sicherheits-Updates
Boris Larin führt im Kaspersky Blog aus, dass der interne Aufbau des Hauptcontainers Kernelstrukturen und Felder zur Ablage von Zeigern auf Speicheradressen enthält. Das ganze Konstrukt ist ziemlich kompliziert und schon recht alt. So ist es nicht verwunderlich, wenn sich jede Menge ausnutzbarer Schwachstellen darin finden lassen. Seit 2018 sind mehr 30 solcher Sicherheitslücken bekannt geworden. Kaspersky hat seit Juni 2022 zumindest fünf unterschiedliche Exploits für CLFS-Schwachstellen bei Angriffen auf Unternehmen aus diversen Branchen gefunden.
Kaspersky
Sicherheitslücken wie die im CLFS-Treiber werden üblicherweise eher von so genannten APT-Gruppen (Advanced Persistent Threat) eingesetzt, um Unternehmensnetzwerke zu infiltrieren. APT-Gruppen werden gerne als staatsnah angesehen, können etwa für Geheimdienste arbeiten. Hier handelt es sich jedoch offenbar eher um gewöhnliche Kriminelle, wenn auch mit mehr Know-How als manch andere. Die bei den jüngeren Angriffen auf den kompromittierten Rechnern platzierte Ransomware Nokoyawa ist ein Abkömmling der seit 2019 bekannten Ransomware JSWorm. Die jetzt verwendete Nokoyawa-Version unterscheidet sich jedoch stärker von ihren Ahnen. Sie ist in C programmiert und nutzt eine verschlüsselte Konfigurationsdatei im JSON-Format.
Weitere Details dazu, wie die Täter vorgegangen sind, um die aktuellste 0-Day-Lücke im CLFS-Treiber auszunutzen und Ransomware einzuschmuggeln, will Kaspersky erst in frühestens einer Woche, etwa ab dem 20. April veröffentlichen. Bis dahin sollten die meisten Rechner mit den Patch-Day-Updates vom 11. April abgesichert sein. Man möchte schließlich keine Anleitung zum Nachmachen liefern.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.