PipeMagic Malware

Med Mezo i Malware, Sårbarhed

Oversæt til:

Forskere har afsløret en nu-patchet sikkerhedssårbarhed i Windows Common Log File System (CLFS), der aktivt blev udnyttet som et nul-dages angreb. Denne fejl blev brugt i ransomware-kampagner rettet mod specifikke organisationer på tværs af flere brancher, herunder IT- og ejendomssektorer i USA, finansielle institutioner i Venezuela, en spansk softwarevirksomhed og detailvirksomheder i Saudi-Arabien.

Indholdsfortegnelse

Forståelse af CVE-2025-29824

Identificeret som CVE-2025-29824, er denne sårbarhed en privilegieeskaleringsfejl i CLFS, der gør det muligt for angribere at opnå rettigheder på SYSTEM-niveau. Microsoft adresserede og fiksede problemet i løbet af april 2025 Patch Tuesday-opdateringen. Den cyberkriminelle gruppe bag disse angreb, sporet under navnet Storm-2460, implementerede en malware-stamme kaldet PipeMagic for at udnytte sikkerhedssårbarheden og implementere ransomware-nyttelaster.

Hvordan angrebet forløb

Mens den nøjagtige metode til indledende adgang forbliver ukendt, observerede forskere, at angriberne brugte cert-værktøjet til at downloade malware fra et kompromitteret tredjepartswebsted. Malwaren, en truende MSBuild-fil, indeholdt en krypteret nyttelast, der, når den blev udført, lancerede PipeMagic. Denne plugin-baserede trojaner, som har været aktiv siden 2022, spillede en central rolle i at lette angrebet.

Dette er ikke det første tilfælde, hvor PipeMagic bliver brugt i zero-day exploits. Tidligere misbrugte den CVE-2025-24983, en fejl ved eskalering af rettigheder i Windows Win32 Kernel Subsystem. Det er også blevet forbundet med Nokoyawa ransomware-angreb, der udnyttede en anden CLFS zero-day sårbarhed, CVE-2023-28252. Ydermere rapporterede cybersikkerhedseksperter, at PipeMagic i tidligere angreb tilskrevet den samme trusselsaktør blev implementeret gennem et MSBuild-script, før de udnyttede CLFS elevation-of-privilege-sårbarheden.

Udnyttelse og dens indvirkning

Angrebet er eksplicit rettet mod en sårbarhed i CLFS-kernedriveren. Ved at udnytte hukommelseskorruption og bruge RtlSetAllBits API, overskriver angriberne udnyttelsesprocessens token med 0xFFFFFFFF, hvilket giver fulde privilegier. Dette giver dem mulighed for at injicere usikre processer i SYSTEM-processer og effektivt tage kontrol over den inficerede maskine. Efter vellykket udnyttelse udtrækker trusselsaktørerne brugerlegitimationsoplysninger ved at dumpe LSASS-hukommelse og kryptere systemfiler med en tilfældigt genereret udvidelse. En løsesumseddel, der indeholder et TOR-domæne knyttet til RansomEXX-ransomware-familien, slettes derefter.

Sikkerhedsforanstaltninger og forsvar

På trods af angrebets alvor er Windows 11, version 24H2, ikke påvirket af denne specifikke udnyttelse. Dette skyldes sikkerhedsbegrænsninger på bestemte systeminformationsklasser i NtQuerySystemInformation, som begrænser adgangen til brugere med SeDebugPrivilege, tilladelser, der typisk kun gives til administrative brugere.

Ransomware-aktører prioriterer fortsat eskalering af privilegier efter kompromis, da det gør dem i stand til at omdanne indledende adgang til bredere kontrol inden for et netværk. Ved at udnytte udnyttelser som CVE-2025-29824 kan de eskalere deres rækkevidde, få privilegeret adgang og implementere ransomware med ødelæggende virkning. Organisationer skal forblive på vagt, anvende sikkerhedsrettelser omgående, overvåge for usædvanlig systemaktivitet og håndhæve stærke adgangskontroller for at mindske de risici, der er forbundet med sådanne cybertrusler.