Windows CLFS Zero-Day: Nokoyawa Ransomware über Systemlücke

Der Vorfall

Im April 2023 patchte Microsoft eine kritische Schwachstelle im Windows Common Log File System (CLFS) – einem Systemdienst, der von nahezu jeder Windows-Version genutzt wird. Die Schwachstelle CVE-2023-28252 war ein sogenannter Privilege-Escalation-Bug: Ein Angreifer, der bereits eingeschränkten Zugriff auf einen Rechner hatte, konnte über diese Lücke SYSTEM-Berechtigungen erlangen – die höchste Berechtigungsstufe in Windows.

Das Besondere: Die Schwachstelle wurde nicht von Sicherheitsforschern in einem Labor entdeckt, sondern von Kaspersky bei der Analyse aktiver Angriffe in freier Wildbahn. Die Nokoyawa-Ransomware-Gruppe nutzte CVE-2023-28252 gezielt, um Unternehmen in Nordamerika, dem Nahen Osten und Asien anzugreifen. Betroffen waren vor allem Unternehmen aus dem Einzel- und Großhandel, der Energiewirtschaft und der Fertigungsindustrie.

CLFS war bereits zuvor ein häufiges Ziel: Zwischen 2018 und 2023 wurden über 30 Schwachstellen in diesem Windows-Subsystem entdeckt, davon mindestens fünf als Zero-Day aktiv ausgenutzt. Die Komponente galt unter Sicherheitsforschern als chronisch unsicher – und dennoch ist sie tief in Windows verankert und kann nicht einfach deaktiviert werden.

Wie der Angriff funktionierte

Die Nokoyawa-Kampagne mit CVE-2023-28252 folgte einem präzise orchestrierten mehrstufigen Angriffsmuster:

Stufe 1 – Initialer Zugang: Die Angreifer verschafften sich zunächst eingeschränkten Zugang zu den Zielsystemen. Dies geschah typischerweise über Phishing-E-Mails mit präparierten Anhängen oder über bereits kompromittierte Remote-Desktop-Zugänge (RDP), die in Untergrundforen gehandelt wurden. In dieser Phase hatten die Angreifer die Berechtigungen eines normalen Benutzers – ausreichend, um Programme auszuführen, aber nicht, um tiefgreifende Systemänderungen vorzunehmen.

Stufe 2 – Der CLFS-Exploit: Hier kam CVE-2023-28252 zum Einsatz. Die Schwachstelle lag in der Art, wie CLFS bestimmte Base Log Files (.BLF) verarbeitete. Der Exploit manipulierte die interne Struktur einer BLF-Datei so, dass beim Verarbeiten ein Out-of-Bounds-Write ausgelöst wurde. Dadurch konnte der Angreifer beliebigen Code im Kernel-Kontext ausführen und sich SYSTEM-Rechte verschaffen.

Der Exploit war technisch anspruchsvoll, aber zuverlässig. Kaspersky berichtete, dass die Angreifer ihn auf verschiedenen Windows-Versionen erfolgreich einsetzten, darunter Windows 10 und Windows 11 sowie mehrere Server-Versionen.

Stufe 3 – Deaktivierung von Sicherheitsmaßnahmen: Mit SYSTEM-Berechtigungen ausgestattet, deaktivierten die Angreifer als Erstes die vorhandenen Sicherheitsprodukte. Windows Defender wurde über Registry-Änderungen und Gruppenrichtlinien abgeschaltet, andere Antivirenlösungen wurden per Prozessbeendigung gestoppt. Protokollierungsdienste wurden deaktiviert, um Spuren zu verwischen.

Stufe 4 – Cobalt Strike und laterale Bewegung: Die Angreifer installierten Cobalt Strike Beacons – ein professionelles Penetrationstest-Tool, das von Ransomware-Gruppen systematisch missbraucht wird. Über Cobalt Strike bewegten sie sich lateral durch das Netzwerk, identifizierten weitere Systeme und eskalierten ihre Berechtigungen auf Domain-Controller-Ebene.

Stufe 5 – Datenexfiltration: Vor der Verschlüsselung kopierten die Angreifer sensible Unternehmensdaten auf externe Server. Diese Daten dienten als zusätzliches Erpressungsmittel: Selbst wenn das Unternehmen die Verschlüsselung aus Backups wiederherstellen konnte, drohte die Veröffentlichung vertraulicher Informationen.

Stufe 6 – Nokoyawa Ransomware: Erst in der letzten Phase wurde die eigentliche Nokoyawa-Ransomware auf allen erreichbaren Systemen ausgerollt. Nokoyawa verschlüsselte Dateien mit einem starken Algorithmus und hinterließ Lösegeldforderungen. Die Ransomware war in Rust geschrieben und nutzte die Algorithmen Salsa20 und RSA für die Verschlüsselung.

Warum Virenscanner versagten

CVE-2023-28252 offenbarte mehrere fundamentale Schwächen der Sicherheitsbranche:

Zero-Day bedeutet null Schutz. Die Schwachstelle war Microsoft nicht bekannt, als die Angriffe begannen. Es gab keinen Patch, keine Signatur, keine Empfehlung. Alle Windows-Systeme waren verwundbar – unabhängig davon, welche Sicherheitssoftware installiert war.

Kernel-Exploits untergraben alle Software-Schutzmaßnahmen. Sobald ein Angreifer über den CLFS-Exploit SYSTEM-Rechte erlangt hat, operiert er auf einer höheren Berechtigungsebene als jeder Virenscanner. Die Malware kann Sicherheitsprodukte nach Belieben deaktivieren – und genau das taten die Nokoyawa-Angreifer.

Verhaltensbasierte Erkennung kam zu spät. Einige EDR-Lösungen erkannten den Exploit theoretisch an seinem Verhalten. In der Praxis waren sie jedoch bereits deaktiviert, bevor sie eine Warnung ausgeben konnten. Der Exploit und die Deaktivierung der Sicherheitssoftware geschahen in schneller Abfolge.

CLFS ist ein systeminternes Modul. Die verwundbare Komponente ist kein optionaler Dienst, der deaktiviert werden könnte. CLFS ist tief in Windows integriert und wird von zahlreichen Systemdiensten genutzt. Virenscanner können CLFS-Operationen nicht blockieren, ohne das Betriebssystem zu destabilisieren.

Cobalt Strike täuscht als legitimes Tool. Cobalt Strike wird auch von Sicherheitsfirmen für autorisierte Penetrationstests eingesetzt. Die Unterscheidung zwischen legitimem und bösartigem Einsatz ist für automatisierte Erkennung äußerst schwierig.

So hätte Deep Freeze geschützt

Deep Freeze hätte die Nokoyawa-Angriffskette an mehreren kritischen Punkten unterbrochen:

Der Dropper und der Exploit-Code verschwinden beim Neustart. Selbst wenn der CLFS-Exploit in einer laufenden Sitzung erfolgreich ausgeführt wird, werden alle heruntergeladenen Dateien, der Exploit-Code und die temporären Artefakte beim nächsten Reboot gelöscht. Die eingefrorene Systempartition kehrt in den Zustand vor der Kompromittierung zurück.

Keine Persistenz für Cobalt Strike. Die Angreifer installieren Cobalt Strike Beacons und richten Autostart-Einträge, Registry-Schlüssel und geplante Aufgaben ein. Auf einer eingefrorenen Systempartition werden all diese Änderungen beim Neustart rückgängig gemacht. Der Fernzugriff der Angreifer ist nach dem Reboot unterbrochen.

Deaktivierte Sicherheitssoftware wird wiederhergestellt. Die Angreifer deaktivierten Windows Defender und andere Schutzprodukte über Registry-Änderungen. Deep Freeze stellt die originalen Registry-Einträge beim Neustart wieder her. Die Sicherheitssoftware startet normal und ist wieder voll funktionsfähig.

Ransomware-Verschlüsselung wird rückgängig gemacht. Selbst wenn Nokoyawa auf einem eingefrorenen Rechner Dateien verschlüsselt – nach dem Neustart sind die Originaldateien wiederhergestellt. Es gibt keine verschlüsselten Dateien, kein Lösegeld zu zahlen, keinen Datenverlust auf dem Endgerät.

Der mehrstufige Angriff wird aufgebrochen. Das Angriffsmuster hängt davon ab, dass jede Stufe auf der vorherigen aufbauen kann: Zugang → Privilege Escalation → Persistenz → laterale Bewegung → Exfiltration → Verschlüsselung. Deep Freeze unterbricht die Kette bei der Persistenz. Ohne stabilen Stützpunkt im Netzwerk können die Angreifer die folgenden Stufen nicht zuverlässig durchführen.

Die Lehre

• Windows CLFS ist eine chronisch unsichere Komponente. Über 30 Schwachstellen in fünf Jahren zeigen, dass dieses Subsystem grundlegend überarbeitet werden müsste. Microsoft hat mittlerweile angekündigt, CLFS härten zu wollen – doch bis das geschieht, bleibt die Angriffsfläche bestehen.
• Privilege-Escalation-Exploits sind der Schlüssel zu verheerenden Angriffen. Ohne SYSTEM-Rechte hätten die Nokoyawa-Angreifer weder Sicherheitssoftware deaktivieren noch Ransomware im Netzwerk verteilen können. Ein einzelner Exploit machte all das möglich.
• Zero-Day-Schwachstellen treffen alle gleich. Kein Virenscanner, keine EDR-Lösung und kein Patch-Management hilft, wenn die Schwachstelle noch unbekannt ist. Nur systemunabhängige Schutzmaßnahmen wie Deep Freeze bieten eine Grundsicherung.
• Ransomware-Angriffe sind hochprofessionelle Operationen. Die Nokoyawa-Gruppe agierte mit einer Präzision, die vor Jahren nur staatlichen Akteuren zugetraut wurde. Die Kombination aus Zero-Day-Exploit, professionellen Tools und mehrstufigem Vorgehen zeigt das aktuelle Bedrohungsniveau.
• Deep Freeze macht Ransomware auf Endgeräten wirkungslos: Die eingefrorene Systempartition stellt bei jedem Neustart den sauberen Originalzustand wieder her – unabhängig davon, ob die Schwachstelle gepatcht ist oder nicht. Das ist die einzige Verteidigung, die auch gegen unbekannte Exploits zuverlässig funktioniert.