# CVE-2023-28252 > [!high] Zero-day no CLFS do Windows - explorado pelo ransomware Nokoyawa > Vulnerabilidade zero-day no Windows Common Log File System Driver que permite escalação de privilégios para SYSTEM. Explorada ativamente pelo grupo de ransomware **Nokoyawa** durante o Patch Tuesday de abril de 2023. ## Visão Geral A [[cve-2023-28252|CVE-2023-28252]] é uma vulnerabilidade zero-day no Windows Common Log File System (CLFS) Driver, corrigida pela Microsoft no Patch Tuesday de abril de 2023. Permite que um atacante com acesso local ao sistema eleve seus privilégios até SYSTEM, tornando-se um componente crítico em cadeias de ataque de ransomware. O grupo de ransomware [[nokoyawa|Nokoyawa]] foi identificado explorando ativamente esta falha como estágio de escalonamento pós-comprometimento inicial, representando um dos raros casos de uso de zero-day por grupos de ransomware de médio porte. A Kaspersky públicou análise técnica detalhada documentando o uso desta CVE em pelo menos cinco ataques distintos antes do patch. Para organizações brasileiras, esta vulnerabilidade é relevante porque: (1) o CLFS é um componente presente em todas as versões modernas do Windows; (2) é um vetor de escalonamento silencioso sem interação do usuário; e (3) o ransomware Nokoyawa teve presença confirmada na América Latina. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 7.8 (High) | | **Componente** | clfs.sys (Windows CLFS Driver) | | **Impacto** | Escalação para SYSTEM | | **Versões afetadas** | Windows 10, 11, Server 2016/2019/2022 | | **Patch** | KB5025221 (Abril 2023 Patch Tuesday) | | **EPSS Percentil** | 98° | ## Exploração pelo Nokoyawa A Kaspersky documentou o fluxo de exploração: 1. Acesso inicial via phishing ou credenciais comprometidas 2. Execução de exploit CLFS para elevar a SYSTEM 3. Desabilitação de AV/EDR com privilégios elevados 4. Implantação do payload [[nokoyawa|Nokoyawa]] ransomware **TTPs relacionados:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] ## Detecção e Defesa **Mitigação imediata:** - Aplicar KB5025221 (Patch Tuesday Abril 2023) - Monitorar processos que abrem handles privilegiados para `clfs.sys` - Implementar detecção de comportamento de ransomware (shadow copy deletion) **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1026-privileged-account-management|M1026]] · [[m1038-execution-prevention|M1038]] > [!latam] Relevância LATAM > O ransomware **Nokoyawa** teve operações documentadas no Brasil e no México. Ambientes Windows não patcheados permanecem vulneráveis a este vetor de escalonamento, especialmente em organizações com ciclos lentos de atualização de patches - comum em PMEs latinoamericanas. ## Referências - [Kaspersky - Nokoyawa Zero-Day](https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/) - [Microsoft Security Update Guide](https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-28252) - [BleepingComputer Coverage](https://www.bleepingcomputer.com/news/microsoft/windows-clfs-driver-zero-day-exploited-by-nokoyawa-ransomware/)