PipeMagic Malware

V roce Mezo v roce Malware, Zranitelnost

Přeložit do:

Výzkumníci odhalili nyní opravenou bezpečnostní chybu v systému Windows Common Log File System (CLFS), která byla aktivně zneužita jako zero-day útok. Tato chyba byla použita v ransomwarových kampaních zaměřených na konkrétní organizace v různých odvětvích, včetně IT a realitního sektoru ve Spojených státech, finančních institucí ve Venezuele, španělské softwarové společnosti a maloobchodních podniků v Saúdské Arábii.

Obsah

Vysvětlení CVE-2025-29824

Tato chyba zabezpečení, identifikovaná jako CVE-2025-29824, představuje chybu eskalace oprávnění v CLFS, která útočníkům umožňuje získat oprávnění na úrovni SYSTÉMU. Společnost Microsoft problém vyřešila a opravila během aktualizace opravného úterý z dubna 2025. Skupina kyberzločinců, která stojí za těmito útoky, sledovaná pod názvem Storm-2460, nasadila kmen malwaru nazvaný PipeMagic, aby využila bezpečnostní zranitelnost a nasadila užitečné zatížení ransomwaru.

Jak se útok rozvinul

Zatímco přesná metoda počátečního přístupu zůstává neznámá, výzkumníci zjistili, že útočníci použili certifikační nástroj ke stažení malwaru z napadeného webu třetí strany. Malware, hrozivý soubor MSBuild, obsahoval zašifrovaný náklad, který po spuštění spustil PipeMagic. Tento trojský kůň založený na pluginu, který je aktivní od roku 2022, hrál ústřední roli při usnadňování útoku.

Toto není první případ použití PipeMagic v zero-day exploitech. Dříve zneužíval CVE-2025-24983, chybu eskalace oprávnění podsystému Windows Win32 Kernel Subsystem. Byl také spojován s ransomwarovými útoky Nokoyawa, které zneužívaly další zranitelnost CLFS zero-day, CVE-2023-28252. Odborníci na kybernetickou bezpečnost navíc uvedli, že v dřívějších útocích připisovaných stejnému aktérovi hrozby byl PipeMagic nasazen prostřednictvím skriptu MSBuild před zneužitím zranitelnosti CLFS elevation-of-privilege.

Využití a jeho dopad

Útok se výslovně zaměřuje na zranitelnost v ovladači jádra CLFS. Zneužitím poškození paměti a využitím RtlSetAllBits API útočníci přepíší token procesu exploitu 0xFFFFFFFF, čímž udělují plná oprávnění. To jim umožňuje vkládat nebezpečné procesy do procesů SYSTÉMU a efektivně převzít kontrolu nad infikovaným počítačem. Po úspěšném zneužití aktéři hrozeb extrahují přihlašovací údaje uživatele vyprázdněním paměti LSASS a zašifrováním systémových souborů pomocí náhodně generované přípony. Výkupné obsahující doménu TOR propojenou s rodinou ransomwaru RansomEXX je poté zrušeno.

Bezpečnostní opatření a obrana

Navzdory závažnosti útoku není Windows 11, verze 24H2, tímto konkrétním zneužitím ovlivněn. To je způsobeno bezpečnostními omezeními kladenými na určité třídy systémových informací v rámci NtQuerySystemInformation, které omezují přístup na uživatele s oprávněním SeDebugPrivilege, což je oprávnění obvykle udělované pouze uživatelům s oprávněním správce.

Aktéři ransomwaru nadále upřednostňují eskalaci práv po kompromitaci, protože jim to umožňuje transformovat počáteční přístup na širší kontrolu v rámci sítě. Využitím exploitů, jako je CVE-2025-29824, mohou eskalovat svůj dosah, získat privilegovaný přístup a nasadit ransomware s ničivým dopadem. Organizace musí zůstat ostražité, okamžitě aplikovat bezpečnostní záplaty, monitorovat neobvyklou aktivitu systému a prosazovat přísné kontroly přístupu, aby se snížila rizika, která takové vyvíjející se kybernetické hrozby představují.