PipeMagic-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Haavoittuvuus

Käännä:

Tutkijat ovat paljastaneet nyt korjatun tietoturvahaavoittuvuuden Windows Common Log File System (CLFS) -järjestelmästä, jota hyödynnettiin aktiivisesti nollapäivähyökkäyksenä. Tätä virhettä käytettiin kiristysohjelmakampanjoissa, jotka oli kohdistettu tiettyihin organisaatioihin useilla toimialoilla, mukaan lukien IT- ja kiinteistöalat Yhdysvalloissa, rahoituslaitokset Venezuelassa, espanjalainen ohjelmistoyritys ja vähittäiskauppa Saudi-Arabiassa.

Sisällysluettelo

CVE-2025-29824 ymmärtäminen

Tämä haavoittuvuus, joka tunnistetaan nimellä CVE-2025-29824, on CLFS:n käyttöoikeuksien eskalaatiovirhe, jonka avulla hyökkääjät voivat hankkia JÄRJESTELMÄtason oikeuksia. Microsoft käsitteli ja korjasi ongelman huhtikuun 2025 korjaustiistain päivityksen aikana. Näiden hyökkäysten takana oleva kyberrikollisryhmä, jota seurataan nimellä Storm-2460, käytti haittaohjelmakantaa nimeltä PipeMagic hyödyntääkseen tietoturvahaavoittuvuutta ja ottaakseen käyttöön kiristysohjelmia.

Kuinka hyökkäys tapahtui

Vaikka alkuperäisen pääsyn tarkka menetelmä on edelleen tuntematon, tutkijat havaitsivat, että hyökkääjät käyttivät varmenneapuohjelmaa haittaohjelmien lataamiseen vaarantuneelta kolmannen osapuolen verkkosivustolta. Haittaohjelma, uhkaava MSBuild-tiedosto, sisälsi salatun hyötykuorman, joka suoritettuaan käynnisti PipeMagicin. Tämä laajennuspohjainen troijalainen, joka on ollut aktiivinen vuodesta 2022, oli keskeinen rooli hyökkäyksen helpottamisessa.

Tämä ei ole ensimmäinen tapaus, jossa PipeMagicia käytetään nollapäivän hyväksikäytössä. Aiemmin se käytti väärin CVE-2025-24983:a, Windows Win32 -ytimen alijärjestelmän käyttöoikeuksien eskalaatiovirhettä. Se on myös liitetty Nokoyawan kiristysohjelmahyökkäuksiin, jotka käyttivät hyväkseen toista CLFS-nollapäivän haavoittuvuutta, CVE-2023-28252. Lisäksi kyberturvallisuusasiantuntijat ilmoittivat, että aiemmissa hyökkäyksissä, jotka johtuivat samasta uhkatekijästä, PipeMagic käytettiin MSBuild-komentosarjan kautta ennen CLFS:n käyttöoikeuksien korotushaavoittuvuutta.

Hyödyntäminen ja sen vaikutukset

Hyökkäys kohdistuu nimenomaan CLFS-ytimen ajurin haavoittuvuuteen. Hyödyntämällä muistin vioittumista ja käyttämällä RtlSetAllBits API:ta, hyökkääjät korvaavat hyväksikäyttöprosessin tunnuksen 0xFFFFFFFF:llä ja myöntävät täydet oikeudet. Tämän ansiosta he voivat lisätä vaarallisia prosesseja JÄRJESTELMÄN prosesseihin ja ottaa tartunnan saaneen koneen tehokkaasti hallintaansa. Onnistuneen hyväksikäytön jälkeen uhkatoimijat poimivat käyttäjätunnukset tyhjentämällä LSASS-muistin ja salaamalla järjestelmätiedostot satunnaisesti luodulla tunnisteella. Tämän jälkeen hylätään lunnaita, jotka sisältävät TOR-verkkotunnuksen, joka on linkitetty RansomEXX ransomware -perheeseen.

Turvatoimet ja puolustus

Hyökkäyksen vakavuudesta huolimatta tämä hyväksikäyttö ei vaikuta Windows 11:n versioon 24H2. Tämä johtuu tietyille NtQuerySystemInformationin järjestelmätietoluokille asetetuista suojausrajoituksista, jotka rajoittavat pääsyn käyttäjiin, joilla on SeDebugPrivilege. Lupa myönnetään yleensä vain järjestelmänvalvojille.

Ransomware-toimijat asettavat edelleen etusijalle kompromissin jälkeisen oikeuksien eskaloinnin, koska sen avulla he voivat muuttaa alkuperäisen pääsyn laajemmalle hallitukselle verkossa. Hyödyntämällä hyväksikäyttöjä, kuten CVE-2025-29824, he voivat laajentaa kattavuuttaan, saada etuoikeutettuja käyttöoikeuksia ja ottaa käyttöön kiristysohjelmia, joilla on tuhoisia vaikutuksia. Organisaatioiden on pysyttävä valppaina, asennettava tietoturvakorjaukset nopeasti, valvottava epätavallisia järjestelmän toimintaa ja valvottava voimakkaita pääsynvalvontaa tällaisten kehittyvien kyberuhkien aiheuttamien riskien vähentämiseksi.