PipeMagic pahavara

Aastaks Mezo aastal Pahavara, Haavatavus

Tõlgi:

Teadlased on avastanud Windowsi ühise logifailisüsteemi (CLFS) nüüdseks parandatud turvaauku, mida kasutati aktiivselt ära nullpäevarünnakuna. Seda viga kasutati lunavarakampaaniates, mis olid suunatud konkreetsetele organisatsioonidele mitmes tööstusharus, sealhulgas USA IT- ja kinnisvarasektorites, Venezuela finantsasutustes, Hispaania tarkvaraettevõttes ja jaemüügiettevõtetes Saudi Araabias.

Sisukord

CVE-2025-29824 mõistmine

See haavatavus, mis on identifitseeritud kui CVE-2025-29824, on CLFS-i privileegide eskalatsiooni viga, mis võimaldab ründajatel hankida SÜSTEEMI-taseme õigusi. Microsoft lahendas probleemi ja parandas selle 2025. aasta aprilli paiga teisipäeva värskenduse ajal. Nende rünnakute taga asunud küberkurjategijate rühmitus, mida jälgitakse Storm-2460 nime all, juurutas pahavara tüve nimega PipeMagic, et ära kasutada turvaauku ja juurutada lunavara kasulikke koormusi.

Kuidas rünnak lahti läks

Kuigi esialgse juurdepääsu täpne meetod on teadmata, täheldasid teadlased, et ründajad kasutasid sertifitseerimisutiliiti pahavara allalaadimiseks ohustatud kolmanda osapoole veebisaidilt. Pahavara, ähvardav MSBuildi fail, sisaldas krüpteeritud kasulikku koormust, mis käivitas pärast käivitamist PipeMagici. See pistikprogrammipõhine troojalane, mis on olnud aktiivne alates 2022. aastast, mängis rünnaku hõlbustamisel keskset rolli.

See ei ole esimene juhtum, kus PipeMagicit nullpäeva rünnakutes kasutatakse. Varem kuritarvitas see CVE-2025-24983, Windows Win32 tuuma alamsüsteemi privileegide eskalatsiooniviga. Seda on seostatud ka Nokoyawa lunavararünnakutega, mis kasutasid ära teist CLFS-i nullpäeva haavatavust CVE-2023-28252. Lisaks teatasid küberjulgeoleku eksperdid, et samale ohutegurile omistatud varasemate rünnakute puhul kasutati PipeMagicit MSBuildi skripti kaudu enne CLFS-i õiguste tõstmise haavatavuse ärakasutamist.

Kasutamine ja selle mõju

Rünnak on otseselt suunatud CLFS-i kerneli draiveri haavatavusele. Mälukahjustusi ära kasutades ja RtlSetAllBits API-t kasutades kirjutavad ründajad ekspluateerimisprotsessi märgi üle 0xFFFFFFFF-ga, andes sellega kõik õigused. See võimaldab neil sisestada SÜSTEEMI protsessidesse ebaturvalisi protsesse, võttes tõhusalt kontrolli nakatunud masina üle. Pärast edukat ärakasutamist eraldavad ohus osalejad kasutaja mandaadid, tühjendades LSASS-i mälu ja krüpteerides süsteemifailid juhuslikult loodud laiendiga. Seejärel eemaldatakse lunarahateade, mis sisaldab RansomEXX lunavaraperekonnaga lingitud TOR-domeeni.

Turvameetmed ja kaitse

Vaatamata rünnaku tõsidusele ei mõjuta see konkreetne ärakasutamine Windows 11 versiooni 24H2. Selle põhjuseks on turvapiirangud, mis on seatud teatud süsteemiteabe klassidele NtQuerySystemInformationis, mis piiravad juurdepääsu SeDebugPrivilege'iga kasutajatele, mille luba antakse tavaliselt ainult administraatorikasutajatele.

Lunavarategijad seavad jätkuvalt prioriteediks kompromissijärgse privileegide eskalatsiooni, kuna see võimaldab neil muuta esialgse juurdepääsu võrgusiseseks laiemaks juhtimiseks. Kasutades selliseid ärakasutusi nagu CVE-2025-29824, saavad nad laiendada oma ulatust, saada privilegeeritud juurdepääsu ja juurutada laastava mõjuga lunavara. Organisatsioonid peavad jääma valvsaks, rakendades viivitamatult turvapaigad, jälgides ebatavalist süsteemitegevust ja rakendades tugevaid juurdepääsukontrolle, et vähendada selliste arenevate küberohtude riske.