PipeMagic Malware

Mezo -ra Malware, Sebezhetőség-ben

Fordítás ide:

A kutatók a Windows Common Log File System (CLFS) most kijavított biztonsági rését fedezték fel, amelyet aktívan kihasználtak nulladik napi támadásként. Ezt a hibát olyan zsarolóvírus-kampányokban használták, amelyek különböző iparágakban meghatározott szervezeteket céloztak meg, beleértve az Egyesült Államok IT- és ingatlanszektorait, venezuelai pénzintézeteket, egy spanyol szoftvercéget és szaúd-arábiai kiskereskedelmi üzleteket.

Tartalomjegyzék

A CVE-2025-29824 értelmezése

A CVE-2025-29824 jelű biztonsági rés a CLFS privilégium-kiterjesztési hibája, amely lehetővé teszi a támadók számára, hogy RENDSZER szintű jogosultságokat szerezzenek. A Microsoft a 2025. áprilisi javítási keddi frissítés során orvosolta és javította a problémát. A támadások mögött álló kiberbűnözői csoport, amelyet Storm-2460 néven nyomon követtek, egy PipeMagic nevű rosszindulatú programtörzset telepített a biztonsági rést kihasználva és zsarolóprogramokat telepítve.

Hogyan bontakozott ki a támadás

Míg a kezdeti hozzáférés pontos módja továbbra sem ismert, a kutatók megfigyelték, hogy a támadók a tanúsítási segédprogramot használták rosszindulatú programok letöltésére egy feltört harmadik fél webhelyéről. A rosszindulatú program, egy fenyegető MSBuild fájl, egy titkosított rakományt tartalmazott, amely végrehajtása után elindította a PipeMagic programot. Ez a plugin-alapú trójai, amely 2022 óta működik, központi szerepet játszott a támadás elősegítésében.

Nem ez az első példa arra, hogy a PipeMagic-et nulladik napi exploitokban használják. Korábban visszaélt a CVE-2025-24983 jelzéssel, amely a Windows Win32 kernel alrendszer jogosultságának eszkalációs hibája. A Nokoyawa ransomware támadásaival is összefüggésbe hozták, amelyek a CLFS egy másik nulladik napi sebezhetőségét, a CVE-2023-28252-t használták ki. Ezenkívül a kiberbiztonsági szakértők arról számoltak be, hogy az ugyanannak a fenyegetőnek tulajdonított korábbi támadásoknál a PipeMagic-et egy MSBuild szkripten keresztül telepítették, mielőtt kihasználták volna a CLFS jogosultság-emelési sebezhetőségét.

Kizsákmányolás és hatása

A támadás kifejezetten a CLFS kernel-illesztőprogram biztonsági rését célozza. A memóriasérülések kihasználásával és az RtlSetAllBits API használatával a támadók 0xFFFFFFFF értékkel felülírják a kihasználási folyamat jogkivonatát, teljes jogosultságot biztosítva ezzel. Ez lehetővé teszi számukra, hogy nem biztonságos folyamatokat fecskendezzenek be a RENDSZER folyamatokba, hatékonyan átveve az irányítást a fertőzött gép felett. A sikeres kihasználást követően a fenyegetés szereplői az LSASS memória törlésével és a rendszerfájlok véletlenszerűen generált kiterjesztéssel történő titkosításával nyerik ki a felhasználói hitelesítő adatokat. A RansomEXX ransomware családhoz kapcsolódó TOR tartományt tartalmazó váltságdíjat ezután eldobják.

Biztonsági intézkedések és védelem

A támadás súlyossága ellenére a Windows 11 24H2 verzióját nem érinti ez a konkrét kihasználás. Ennek oka az NtQuerySystemInformation bizonyos rendszerinformációs osztályaira vonatkozó biztonsági korlátozások, amelyek korlátozzák a hozzáférést a SeDebugPrivilege jogosultsággal rendelkező felhasználókra, amelyek általában csak adminisztratív felhasználóknak vannak engedélyezve.

A zsarolóvírus-szereplők továbbra is prioritást élveznek a kompromisszum utáni jogosultságok eszkalációjában, mivel ez lehetővé teszi számukra, hogy a kezdeti hozzáférést szélesebb körű vezérléssé alakítsák át a hálózaton belül. A CVE-2025-29824-hez hasonló kizsákmányolásokkal növelhetik hatókörüket, kiváltságos hozzáférést kaphatnak, és pusztító hatású zsarolóprogramokat telepíthetnek. A szervezeteknek ébernek kell maradniuk, azonnal telepíteniük kell a biztonsági javításokat, figyelniük kell a szokatlan rendszertevékenységeket, és szigorú hozzáférés-ellenőrzéseket kell bevezetniük az ilyen fejlődő kiberfenyegetések által jelentett kockázatok csökkentése érdekében.