Зловреден софтуер PipeMagic

До Mezo през Зловреден софтуер, Уязвимостг

Превод на:

Изследователите са открили вече коригирана уязвимост на сигурността в Windows Common Log File System (CLFS), която е била активно използвана като атака от нулев ден. Този пропуск е използван в кампании за рансъмуер, насочени към конкретни организации в множество индустрии, включително секторите на ИТ и недвижимите имоти в Съединените щати, финансови институции във Венецуела, испанска софтуерна компания и предприятия за търговия на дребно в Саудитска Арабия.

Съдържание

Разбиране на CVE-2025-29824

Идентифицирана като CVE-2025-29824, тази уязвимост е пропуск в ескалация на привилегии в CLFS, който позволява на атакуващите да получат привилегии на ниво SYSTEM. Microsoft адресира и коригира проблема по време на актуализацията на корекцията във вторник през април 2025 г. Киберпрестъпната група, която стои зад тези атаки, проследявана под името Storm-2460, внедри разновидност на злонамерен софтуер, наречена PipeMagic, за да използва уязвимостта на сигурността и да разположи полезни натоварвания на ransomware.

Как се разви атаката

Въпреки че точният метод за първоначален достъп остава неизвестен, изследователите отбелязват, че нападателите са използвали помощната програма за сертификат, за да изтеглят зловреден софтуер от компрометиран уебсайт на трета страна. Зловреден софтуер, заплашителен MSBuild файл, съдържа криптиран полезен товар, който след като бъде изпълнен, стартира PipeMagic. Този базиран на плъгини троянски кон, който е активен от 2022 г., изигра централна роля в улесняването на атаката.

Това не е първият случай на използване на PipeMagic в експлойти за нулев ден. Преди това злоупотребяваше с CVE-2025-24983, недостатък на ескалация на привилегии на Windows Win32 Kernel Subsystem. Той също така е свързан с атаки на рансъмуер Nokoyawa, които експлоатират друга CLFS уязвимост от нулев ден, CVE-2023-28252. Освен това експертите по киберсигурност съобщиха, че при по-ранни атаки, приписвани на същата заплаха, PipeMagic е бил внедрен чрез скрипт MSBuild, преди да използва уязвимостта на CLFS за повишаване на привилегиите.

Експлоатация и нейното въздействие

Атаката изрично е насочена към уязвимост в драйвера на ядрото на CLFS. Чрез експлоатиране на повреда в паметта и използване на RtlSetAllBits API, атакуващите презаписват токена на процеса на експлоатация с 0xFFFFFFFF, предоставяйки пълни привилегии. Това им позволява да инжектират опасни процеси в SYSTEM процеси, ефективно поемайки контрола върху заразената машина. След успешна експлоатация, участниците в заплахата извличат потребителски идентификационни данни чрез изхвърляне на LSASS памет и криптиране на системни файлове с произволно генерирано разширение. След това бележка за откуп, съдържаща TOR домейн, свързан със семейството на рансъмуер RansomEXX, се изхвърля.

Мерки за сигурност и отбрана

Въпреки сериозността на атаката, Windows 11, версия 24H2, не е засегната от тази конкретна експлоатация. Това се дължи на ограниченията за сигурност, наложени на конкретни класове системна информация в рамките на NtQuerySystemInformation, които ограничават достъпа до потребители със SeDebugPrivilege, разрешение, което обикновено се дава само на администраторски потребители.

Участниците в рансъмуер продължават да дават приоритет на ескалацията на привилегиите след компрометиране, тъй като им позволява да трансформират първоначалния достъп в по-широк контрол в мрежата. Чрез използване на експлойти като CVE-2025-29824, те могат да ескалират обхвата си, да получат привилегирован достъп и да разположат рансъмуер с опустошително въздействие. Организациите трябва да останат бдителни, да прилагат незабавно пачове за сигурност, да следят за необичайна системна активност и да налагат силен контрол на достъпа, за да намалят рисковете, породени от такива развиващи се кибер заплахи.