# CVE-2023-23376 > [!high] Zero-day no CLFS do Windows - predecessora da CVE-2023-28252, mesma família de exploits > Vulnerabilidade de use-after-free no Windows CLFS Driver explorada como zero-day em fevereiro de 2023. Parte de uma série de exploits CLFS usados por grupos de ransomware incluindo **Nokoyawa** como componente de escalação de privilégios. ## Visão Geral A [[cve-2023-23376|CVE-2023-23376]] é uma vulnerabilidade de use-after-free no Windows Common Log File System (CLFS) Driver, corrigida pelo Patch Tuesday de fevereiro de 2023. Representa a primeira de uma série de zero-days no CLFS explorados ativamente em 2023, sendo seguida pela [[cve-2023-28252|CVE-2023-28252]] em abril do mesmo ano. A Microsoft confirmou exploração ativa desta falha antes do patch, e pesquisadores identificaram uso por grupos de ransomware como parte de cadeias de ataque onde a escalação de privilégios via CLFS permite desabilitar proteções e implantar o payload final. O grupo [[nokoyawa|Nokoyawa]] foi associado a exploits desta família de vulnerabilidades CLFS. A recorrência de zero-days no mesmo componente CLFS ao longo de 2023 sugere que grupos de ameaça especializados desenvolveram expertise profundo neste subsistema Windows, realizando pesquisa contínua por novas falhas após cada patch. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 7.8 (High) | | **Tipo** | Use-After-Free no kernel | | **Componente** | clfs.sys (Windows Common Log File System) | | **Impacto** | Escalação para SYSTEM | | **Versões afetadas** | Windows 10, 11, Server 2012/2016/2019/2022 | | **Patch** | KB5022842 (Fevereiro 2023 Patch Tuesday) | ## Contexto - Série de Zero-Days CLFS 2023 O CLFS foi alvo de múltiplas vulnerabilidades em 2023, indicando pesquisa ativa por atores avançados: - **CVE-2023-23376** - Fevereiro 2023 (esta nota) - **CVE-2023-28252** - Abril 2023 (mesma família, Nokoyawa) **TTPs relacionados:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] ## Detecção e Defesa **Mitigação imediata:** - Aplicar KB5022842 (Patch Tuesday Fevereiro 2023) - Monitorar processos com handles incomuns para `clfs.sys` - Implementar detecção de comportamento pós-exploit (shadow copy deletion, AV disable) **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1026-privileged-account-management|M1026]] · [[m1038-execution-prevention|M1038]] > [!latam] Relevância LATAM > A família de exploits CLFS foi utilizada por grupos de ransomware com presença na América Latina. Organizações brasileiras com Windows não atualizado ou com patch management irregular permanecem expostas a este vetor de escalonamento de privilégios que não requer interação do usuário. ## Referências - [Microsoft Security Update Guide](https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-23376) - [BleepingComputer - CLFS Zero-Day](https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-ransomware-attacks/) - [Mandiant CLFS Research](https://www.mandiant.com/resources/blog/hunting-windows-clfs-zero-day)