# Nokoyawa Zero-Day Campaign 2023 > [!high] Grupo de ransomware usa zero-day no Windows Common Log File System (CLFS) para escalada de privilégios - CVE-2023-28252 patched no Patch Tuesday de abril 2023 > Em fevereiro de 2023, a Kaspersky identificou o grupo Nokoyawa Ransomware explorando ativamente o CVE-2023-28252, um zero-day de escalada de privilégios no Windows Common Log File System (CLFS). A vulnerabilidade permite que um atacante com acesso de usuário padrão escale para SYSTEM sem detecção. O zero-day foi usado como componente crítico da cadeia de ataque juntamente com o backdoor Pipemagic e Cobalt Strike Beacon. Patched no Patch Tuesday de 11 de abril de 2023. ## Visão Geral O Nokoyawa Ransomware Group se distingue no cenário de ransomware por explorar zero-days de elevação de privilégios no Windows - uma capacidade técnica normalmente associada a APTs de estado, não grupos criminosos. A descoberta do CVE-2023-28252 pela Kaspersky em fevereiro de 2023 revelou que o grupo havia desenvolvido ou adquirido um exploit para uma vulnerabilidade desconhecida no **Windows Common Log File System (CLFS)** - um componente interno do Windows que gerencia log de transações de alto desempenho. O CLFS é um driver do kernel do Windows usado por aplicações como Active Directory, Exchange e SQL Server para logs de transações. A vulnerabilidade permite manipular estruturas internas do CLFS para obter acesso de escrita arbitrária no kernel, escalando de usuário comum para `SYSTEM`. Este é o nível de privilégio mais alto no Windows, dando ao atacante controle completo sobre o sistema - incluindo a capacidade de desabilitar qualquer software de segurança. A cadeia de ataque documentada pela Kaspersky usa o [[pipemagic|Pipemagic]] como backdoor inicial - um implante sofisticado que se disfarça como plugin legítimo e usa canais de comunicação incomuns. Após estabelecer acesso persistente via Pipemagic, o grupo usa o exploit CLFS para escalar privilégios antes de implantar o [[s0154-cobalt-strike|Cobalt Strike Beacon]] para movimento lateral e, finalmente, o [[nokoyawa-ransomware|Nokoyawa Ransomware]]. A Microsoft recebeu o relatório da Kaspersky e incluiu o patch na atualização de segurança de abril de 2023 (Patch Tuesday - 11 de abril). A janela de zero-day - período entre a exploração ativa e o patch - durou aproximadamente dois meses. Durante este período, qualquer sistema Windows sem patch estava vulnerável à escalada de privilégios completa se um atacante obtivesse acesso inicial. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Pipemagic backdoor via<br/>engenharia social ou exploit"] --> B["Persistência<br/>Pipemagic disfarçado como<br/>plugin legítimo instalado"] B --> C["Zero-Day CLFS<br/>CVE-2023-28252 explorado<br/>escalada de usuário para SYSTEM"] C --> D["Cobalt Strike<br/>Beacon implantado com<br/>privilégios SYSTEM - C2 ativo"] D --> E["Reconhecimento<br/>Mapeamento da rede e<br/>desativação de EDR"] E --> F["Ransomware<br/>Nokoyawa criptografa<br/>dados com SYSTEM privileges"] ``` > **Ator:** Nokoyawa Ransomware Group | **CVE:** CVE-2023-28252 (CLFS zero-day) | **Malware:** Pipemagic + Cobalt Strike + Nokoyawa ## Cronologia ```mermaid timeline title Nokoyawa Zero-Day Campaign 2022-12 : Kaspersky identifica primeiras amostras Pipemagic em ataques 2023-02 : CVE-2023-28252 explorado em ataques contra empresas no Oriente Médio 2023-03 : Kaspersky expande análise - exploração confirmada em múltiplas regiões 2023-03-31 : Kaspersky reporta zero-day à Microsoft via coordinated disclosure 2023-04-11 : Microsoft corrige CVE-2023-28252 no Patch Tuesday de abril 2023 2023-04-11 : Kaspersky publica análise técnica completa do exploit CLFS 2023-04 : CISA adiciona CVE-2023-28252 ao Known Exploited Vulnerabilities catalog 2023-05 : Ataques Nokoyawa continuam mas com exploit não mais zero-day ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploitation for Privilege Escalation | [[t1068-exploitation-for-privilege-escalation\|T1068]] | CVE-2023-28252 CLFS zero-day - escalada de usuário para SYSTEM | | Process Injection | [[t1055-process-injection\|T1055]] | Pipemagic injeta código em processos legítimos do Windows | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell para execução de componentes da cadeia | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Pipemagic ofuscado como plugin legítimo para evadir detecção | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Nokoyawa Ransomware criptografando dados com SYSTEM privileges | | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de EDR usando privilégios SYSTEM antes do ransomware | ## Vítimas e Impacto **Alvos documentados:** - Empresas no Oriente Médio (Arábia Saudita, Emirados, Kuwait) - setores financeiro e varejo - Organizações na América do Norte e Ásia com foco em manufatura e tecnologia - Perfil de vítima: organizações com sistemas Windows não atualizados em ambientes mistos **Impacto técnico:** - Zero-day de EoP permite que atacantes com qualquer acesso inicial escale para controle total - Todas as versões do Windows afetadas (Windows 7 a Windows 11, Server 2008 a 2022) - CLFS presente em todo ecossistema Windows corporativo - universalidade da vulnerabilidade - Janela de dois meses de exploração ativa antes do patch **Impacto em pesquisa de segurança:** - Primeiro zero-day CLFS identificado sendo usado por grupo criminoso (não APT de estado) - Demonstrou que grupos de ransomware têm capacidade e incentivo para desenvolver/comprar zero-days - CLFS se tornou área de pesquisa prioritária - múltiplas vulnerabilidades adicionais encontradas em 2023-2024 ## Relevância LATAM e Brasil O CVE-2023-28252 tem relevância específica para o contexto brasileiro: - **Windows predominante em empresas brasileiras**: o Brasil tem alta penetração de Windows corporativo - virtualmente toda empresa usa alguma versão do Windows Server ou cliente afetada pela vulnerabilidade - **Ciclo de patch no Brasil**: sistemas corporativos brasileiros levam em média 30-60 dias para aplicar Patch Tuesday - a janela zero-day de 2 meses coincide com este ciclo, significando que muitas organizações foram vulneráveis durante toda a janela de exploração - **Ransomware ativo no Brasil**: os grupos de ransomware mais ativos no Brasil ([[lockbit-ransomware-group|LockBit]], variantes Nokoyawa) usam técnicas de escalada de privilégios similares - o CVE-2023-28252 é um vetor que afiliados ativos na América Latina certamente monitoram e testam - **CLFS como superfície de ataque**: pesquisadores encontraram vulnerabilidades adicionais no CLFS em 2023-2024 - manter Windows atualizado é a única defesa efetiva ## Mitigação **Ações imediatas:** - Aplicar [[cve-2023-28252|CVE-2023-28252]] - patch incluído no Patch Tuesday de abril 2023 (KB5025221 e relacionados) - Verificar que Windows Update está habilitado e aplicando patches mensais automaticamente - Auditar instalações Windows não suportadas (Windows 7, Server 2008) que não receberão patches **Controles estratégicos:** - Implementar [[m1051-update-software|M1051]] - ciclo de patch com janela máxima de 14 dias para atualizações de segurança Microsoft - Aplicar princípio de menor privilégio - usuários sem necessidade de admin local reduzem impacto de EoP - Monitorar via [[ds-0009-process|DS-0009]] - criação de processos com privilégios SYSTEM por processos de usuário como indicador de exploração EoP ## Referências - [1](https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/) Kaspersky Securelist - Nokoyawa Ransomware Attacks with Windows Zero-Day (2023) - [2](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252) Microsoft MSRC - CVE-2023-28252 Advisory (2023) - [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) CISA KEV - CVE-2023-28252 Windows CLFS Privilege Escalation (2023) - [4](https://nvd.nist.gov/vuln/detail/CVE-2023-28252) NVD - CVE-2023-28252 NIST Detail (2023) - [5](https://www.bleepingcomputer.com/news/security/windows-clfs-zero-day-exploited-by-nokoyawa-ransomware/) BleepingComputer - Windows CLFS Zero-Day Exploited by Nokoyawa Ransomware (2023)