PipeMagic Malware

Entro Mezo nel Malware, Vulnerabilità

Traduci in:

I ricercatori hanno scoperto una vulnerabilità di sicurezza, ora risolta con patch, all'interno del Common Log File System (CLFS) di Windows, che era stata sfruttata attivamente come attacco zero-day. Questa falla è stata utilizzata in campagne ransomware mirate a organizzazioni specifiche di diversi settori, tra cui i settori IT e immobiliare negli Stati Uniti, istituti finanziari in Venezuela, un'azienda di software spagnola e aziende di vendita al dettaglio in Arabia Saudita.

Sommario

Comprensione di CVE-2025-29824

Identificata come CVE-2025-29824, questa vulnerabilità è un difetto di escalation dei privilegi in CLFS che consente agli aggressori di ottenere privilegi di livello SISTEMA. Microsoft ha risolto e corretto il problema durante l'aggiornamento Patch Tuesday di aprile 2025. Il gruppo di criminali informatici responsabile di questi attacchi, identificato con il nome Storm-2460, ha distribuito un ceppo di malware chiamato PipeMagic per sfruttare la vulnerabilità di sicurezza e distribuire payload ransomware.

Come si è svolto l’attacco

Sebbene il metodo esatto di accesso iniziale rimanga sconosciuto, i ricercatori hanno osservato che gli aggressori hanno utilizzato l'utilità cert per scaricare malware da un sito web di terze parti compromesso. Il malware, un file MSBuild minaccioso, conteneva un payload crittografato che, una volta eseguito, lanciava PipeMagic. Questo trojan basato su plugin, attivo dal 2022, ha svolto un ruolo centrale nel facilitare l'attacco.

Questa non è la prima volta che PipeMagic viene utilizzato in exploit zero-day. In precedenza, sfruttava CVE-2025-24983, una falla di escalation dei privilegi nel sottosistema kernel Win32 di Windows. È stato anche associato agli attacchi ransomware Nokoyawa che sfruttavano un'altra vulnerabilità zero-day di CLFS, CVE-2023-28252. Inoltre, gli esperti di sicurezza informatica hanno segnalato che in precedenti attacchi attribuiti allo stesso autore di minacce, PipeMagic veniva distribuito tramite uno script MSBuild prima di sfruttare la vulnerabilità di elevazione dei privilegi di CLFS.

Sfruttamento e il suo impatto

L'attacco prende di mira esplicitamente una vulnerabilità nel driver del kernel CLFS. Sfruttando la corruzione della memoria e utilizzando l'API RtlSetAllBits, gli aggressori sovrascrivono il token del processo di exploit con 0xFFFFFFFF, concedendo privilegi completi. Ciò consente loro di iniettare processi non sicuri nei processi di SISTEMA, assumendo di fatto il controllo della macchina infetta. Dopo aver sfruttato con successo l'attacco, gli aggressori estraggono le credenziali dell'utente svuotando la memoria LSASS e crittografando i file di sistema con un'estensione generata casualmente. Viene quindi rilasciata una richiesta di riscatto contenente un dominio TOR collegato alla famiglia di ransomware RansomEXX.

Misure di sicurezza e difesa

Nonostante la gravità dell'attacco, Windows 11, versione 24H2, non è interessato da questo specifico exploit. Ciò è dovuto alle restrizioni di sicurezza imposte su specifiche classi di informazioni di sistema all'interno di NtQuerySystemInformation, che limitano l'accesso agli utenti con privilegio SeDebug, autorizzazione generalmente concessa solo agli utenti amministrativi.

Gli autori di ransomware continuano a dare priorità all'escalation dei privilegi post-compromissione, poiché consente loro di trasformare l'accesso iniziale in un controllo più ampio all'interno di una rete. Sfruttando exploit come CVE-2025-29824, possono aumentare la loro portata, ottenere accesso privilegiato e distribuire ransomware con un impatto devastante. Le organizzazioni devono rimanere vigili, applicando tempestivamente le patch di sicurezza, monitorando attività insolite nei sistemi e applicando rigidi controlli di accesso per ridurre i rischi posti da queste minacce informatiche in continua evoluzione.