# CVE-2022-24521 > [!high] Escalada de Privilégio no Windows CLFS - Explorada pelo Ransomware Nokoyawa > Vulnerabilidade de elevação de privilégio no driver CLFS do Windows explorada ativamente pelo ransomware Nokoyawa para obter permissões SYSTEM antes da fase de criptografia. ## Visão Geral A [[cve-2022-24521|CVE-2022-24521]] é uma vulnerabilidade de elevação de privilégio local no **Windows Common Log File System (CLFS)** driver, corrigida no Patch Tuesday de abril de 2022. Assim como outras falhas na mesma família (incluindo [[cve-2022-37969|CVE-2022-37969]]), esta CVE permite que um atacante local com privilégios de usuário padrão eleve suas permissões para o nível SYSTEM. A vulnerabilidade foi documentada pelo Kaspersky GReAT em abril de 2023 como explorada por um grupo afiliado ao **ransomware Nokoyawa**, na época um ator relativamente novo no ecossistema de ransomware como serviço. O uso de zero-days CLFS por operadores de ransomware demonstra o crescente investimento desses grupos em exploits de qualidade APT para superar defesas modernas. O CLFS é um subsistema do kernel Windows presente em todas as versões modernas do sistema operacional, tornando este tipo de vulnerabilidade de alto valor para atacantes que precisam escalar privilégios após comprometimento inicial. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Escalada de Privilégio Local (LPE) | | Componente | `clfs.sys` - Windows CLFS Driver | | Vetor | Local (requer acesso com usuário padrão) | | Complexidade | Baixa | | Zero-day explorado | Confirmado antes do patch | ### Contexto de Uso pelo Nokoyawa O ransomware Nokoyawa utiliza esta vulnerabilidade como parte de sua cadeia de ataque: ``` Acesso Inicial (RDP/phishing) → Usuário Comum → CVE-2022-24521 → SYSTEM → Ransomware ``` A escalada para SYSTEM é necessária para desabilitar serviços de backup e segurança antes da criptografia. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Exploração LPE no CLFS | | [[t1490-inhibit-system-recovery\|T1490]] | Desabilitação de VSS/backups pós-SYSTEM | | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia ransomware após escalada | | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desabilitação de AV/EDR com SYSTEM | ## Detecção e Defesa **Mitigações:** - Aplicar patch MS22-APR (KB5012643) imediatamente - [[m1051-update-software\|M1051]] - Manter Windows atualizado - [[m1038-execution-prevention\|M1038]] - Controle de aplicações para limitar execução de exploits - Monitorar acesso anômalo ao driver `clfs.sys` > [!latam] Relevância para Brasil e LATAM > O ecossistema de ransomware como serviço tem crescido significativamente no Brasil, com grupos como Nokoyawa e afiliados impactando empresas de manufatura, logística e saúde. O uso de LPEs no CLFS é uma técnica que contorna muitos controles de segurança básicos. Organizações brasileiras sem patching regular são especialmente vulneráveis a esta cadeia de ataque. ## Referências - [Microsoft Security Update - CVE-2022-24521](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521) - [Kaspersky SecureList - Nokoyawa Ransomware](https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/) - [NVD - CVE-2022-24521](https://nvd.nist.gov/vuln/detail/CVE-2022-24521)