Programari maliciós PipeMagic

El Mezo el Programari maliciós, Vulnerabilitat

Traduir a:

Els investigadors han descobert una vulnerabilitat de seguretat ara pegada dins del sistema de fitxers de registre comú de Windows (CLFS) que es va explotar activament com un atac de dia zero. Aquest defecte es va utilitzar en campanyes de ransomware dirigides a organitzacions específiques de múltiples indústries, inclosos els sectors informàtics i immobiliaris als Estats Units, institucions financeres a Veneçuela, una empresa de programari espanyola i empreses minoristes a l'Aràbia Saudita.

Taula de continguts

Comprensió de CVE-2025-29824

Identificada com a CVE-2025-29824, aquesta vulnerabilitat és una fallada d'escalada de privilegis a CLFS que permet als atacants obtenir privilegis a nivell de SISTEMA. Microsoft va solucionar i va arreglar el problema durant l'actualització del dimarts del pegat d'abril de 2025. El grup cibercriminal darrere d'aquests atacs, seguit amb el nom de Storm-2460, va desplegar una soca de programari maliciós anomenada PipeMagic per explotar la vulnerabilitat de seguretat i desplegar càrregues útils de ransomware.

Com es va desenvolupar l’atac

Tot i que es desconeix el mètode exacte d'accés inicial, els investigadors van observar que els atacants van utilitzar la utilitat cert per descarregar programari maliciós d'un lloc web de tercers compromès. El programari maliciós, un fitxer MSBuild amenaçador, contenia una càrrega útil xifrada que, un cop executada, va llançar PipeMagic. Aquest troià basat en complements, que està actiu des del 2022, va tenir un paper central a l'hora de facilitar l'atac.

Aquesta no és la primera instància que PipeMagic s'utilitza en exploits de dia zero. Anteriorment, va abusar de CVE-2025-24983, una fallada d'escalada de privilegis del subsistema del nucli Win32 de Windows. També s'ha associat amb atacs de ransomware de Nokoyawa que van explotar una altra vulnerabilitat de dia zero de CLFS, CVE-2023-28252. A més, els experts en ciberseguretat van informar que en atacs anteriors atribuïts al mateix actor d'amenaça, PipeMagic es va desplegar mitjançant un script MSBuild abans d'explotar la vulnerabilitat d'elevació de privilegis CLFS.

L’explotació i el seu impacte

L'atac apunta explícitament a una vulnerabilitat del controlador del nucli CLFS. Aprofitant la corrupció de la memòria i utilitzant l'API RtlSetAllBits, els atacants sobreescriuen el testimoni del procés d'explotació amb 0xFFFFFFFF, atorgant privilegis complets. Això els permet injectar processos insegurs als processos del SISTEMA, prenent efectivament el control de la màquina infectada. Després d'una explotació reeixida, els actors de l'amenaça extreuen les credencials de l'usuari abocant la memòria LSASS i xifrant els fitxers del sistema amb una extensió generada aleatòriament. Aleshores s'elimina una nota de rescat que conté un domini TOR vinculat a la família de ransomware RansomEXX.

Mesures de seguretat i defensa

Malgrat la gravetat de l'atac, Windows 11, versió 24H2, no es veu afectada per aquesta explotació específica. Això es deu a les restriccions de seguretat imposades a classes d'informació del sistema particulars dins de NtQuerySystemInformation, que limiten l'accés als usuaris amb SeDebugPrivilege, permís que normalment només s'atorga als usuaris administratius.

Els actors de ransomware continuen prioritzant l'escalada de privilegis després del compromís, ja que els permet transformar l'accés inicial en un control més ampli dins d'una xarxa. Aprofitant explotacions com CVE-2025-29824, poden augmentar el seu abast, obtenir accés privilegiat i implementar ransomware amb un impacte devastador. Les organitzacions han de mantenir-se vigilants, aplicant pedaços de seguretat ràpidament, supervisant l'activitat inusual del sistema i aplicant controls d'accés forts per reduir els riscos que comporten aquestes amenaces cibernètiques en evolució.