תוכנת זדונית PipeMagic
חוקרים חשפו פגיעות אבטחה שתוקנה כעת במערכת הקבצים הרגילים של Windows (CLFS) אשר נוצלה באופן פעיל כהתקפה של יום אפס. פגם זה שימש בקמפיינים של תוכנות כופר המכוונות לארגונים ספציפיים בתעשיות מרובות, כולל מגזרי IT ונדל"ן בארצות הברית, מוסדות פיננסיים בוונצואלה, חברת תוכנה ספרדית ועסקים קמעונאיים בערב הסעודית.
תוכן העניינים
הבנת CVE-2025-29824
מזוהה כ-CVE-2025-29824, פגיעות זו היא פגם בהסלמה של הרשאות ב-CLFS המאפשר לתוקפים לקבל הרשאות ברמת ה-SYSTEM. מיקרוסופט טיפלה בבעיה ותיקנה אותה במהלך עדכון התיקון של יום שלישי באפריל 2025. קבוצת פושעי הסייבר שמאחורי התקפות אלו, במעקב תחת השם Storm-2460, פרסה זן תוכנות זדוניות בשם PipeMagic כדי לנצל את פגיעות האבטחה ולפרוס מטענים של תוכנות כופר.
איך התפתחה המתקפה
בעוד ששיטת הגישה הראשונית המדויקת עדיין לא ידועה, החוקרים הבחינו שהתוקפים השתמשו בכלי השירות Certificate כדי להוריד תוכנות זדוניות מאתר צד שלישי שנפגע. התוכנה הזדונית, קובץ MSBuild מאיים, הכילה מטען מוצפן שלאחר ביצועו, השיקה את PipeMagic. הטרויאני מבוסס הפלאגין הזה, שפעיל מאז 2022, מילא תפקיד מרכזי בהקלת המתקפה.
זה לא המקרה הראשון של שימוש ב-PipeMagic בניצול של יום אפס. בעבר, היא השתמשה לרעה ב-CVE-2025-24983, פגם בהסלמה של הרשאות הליבה של Windows Win32. זה גם נקשר למתקפות כופר של Nokoyawa שניצלו פגיעות נוספת של CLFS Zero Day, CVE-2023-28252. בנוסף, מומחי אבטחת סייבר דיווחו כי בהתקפות קודמות שיוחסו לאותו שחקן איום, PipeMagic נפרסה באמצעות סקריפט MSBuild לפני ניצול פגיעות העלאת הרשאות CLFS.
ניצול והשפעתו
ההתקפה מכוונת במפורש לפגיעות במנהל ההתקן של ליבת CLFS. על ידי ניצול השחתת זיכרון ושימוש בממשק API של RtlSetAllBits, התוקפים מחליפים את האסימון של תהליך הניצול עם 0xFFFFFFFF, ומעניקים הרשאות מלאות. זה מאפשר להם להחדיר תהליכים לא בטוחים לתהליכי SYSTEM, תוך השתלטות ביעילות על המכונה הנגועה. לאחר ניצול מוצלח, שחקני האיום מחלצים את אישורי המשתמש על ידי זריקת זיכרון LSASS והצפנת קבצי מערכת עם סיומת שנוצרה באופן אקראי. פתק כופר המכיל תחום TOR המקושר למשפחת תוכנות הכופר RansomEXX נמחק לאחר מכן.
אמצעי ביטחון והגנה
למרות חומרת המתקפה, Windows 11, גרסה 24H2, אינה מושפעת מניצול ספציפי זה. זה נובע מהגבלות אבטחה המוטלות על מחלקות מידע מערכת מסוימות בתוך NtQuerySystemInformation, המגבילות את הגישה למשתמשים עם SeDebugPrivilege, הרשאה הניתנת בדרך כלל רק למשתמשים ניהוליים.
שחקני כופר ממשיכים לתת עדיפות להסלמה של הרשאות לאחר פשרה, מכיוון שהיא מאפשרת להם להפוך גישה ראשונית לשליטה רחבה יותר בתוך רשת. על ידי מינוף מנצלים כמו CVE-2025-29824, הם יכולים להסלים את טווח ההגעה שלהם, להשיג גישה מועדפת ולפרוס תוכנות כופר עם השפעה הרסנית. ארגונים חייבים לשמור על ערנות, להחיל תיקוני אבטחה באופן מיידי, לפקח על פעילות מערכת חריגה ולאכוף בקרות גישה חזקות כדי להפחית את הסיכונים הנשקפים מאיומי סייבר מתפתחים כאלה.
תוכנת זדונית PipeMagic וידאו
טיפ: הפעל הקול שלך ON ולצפות בסרטון במצב של מסך מלא.
