PipeMagic ļaunprātīga programmatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Neaizsargātība. gadā

Tulkot uz:

Pētnieki ir atklājuši tagad aizlāpētu drošības ievainojamību Windows kopējā žurnālfailu sistēmā (CLFS), kas tika aktīvi izmantota kā nulles dienas uzbrukums. Šis trūkums tika izmantots izspiedējvīrusu kampaņās, kuru mērķauditorija bija noteiktas organizācijas vairākās nozarēs, tostarp IT un nekustamā īpašuma nozares ASV, finanšu iestādes Venecuēlā, Spānijas programmatūras uzņēmums un mazumtirdzniecības uzņēmumi Saūda Arābijā.

Satura rādītājs

Izpratne par CVE-2025-29824

Šī ievainojamība, kas identificēta kā CVE-2025-29824, ir CLFS privilēģiju eskalācijas trūkums, kas ļauj uzbrucējiem iegūt SISTĒMAS līmeņa privilēģijas. Microsoft šo problēmu novērsa un izlaboja 2025. gada aprīļa ielāpu otrdienas atjauninājuma laikā. Kibernoziedznieku grupa aiz šiem uzbrukumiem, kas tiek izsekota ar nosaukumu Storm-2460, izvietoja ļaunprātīgas programmatūras celmu ar nosaukumu PipeMagic, lai izmantotu drošības ievainojamību un izvietotu izspiedējvīrusu lietderīgās slodzes.

Kā noritēja uzbrukums

Lai gan precīza sākotnējās piekļuves metode joprojām nav zināma, pētnieki novēroja, ka uzbrucēji izmantoja sertifikātu utilītu, lai lejupielādētu ļaunprātīgu programmatūru no apdraudētas trešās puses vietnes. Ļaunprātīgā programma, kas ir draudošs MSBuild fails, saturēja šifrētu lietderīgo slodzi, kas pēc izpildes palaiž PipeMagic. Šim uz spraudņiem balstītam Trojas zirgam, kas darbojas kopš 2022. gada, bija galvenā loma uzbrukuma veicināšanā.

Šis nav pirmais gadījums, kad PipeMagic tiek izmantots nulles dienas ekspluatācijā. Iepriekš tas ļaunprātīgi izmantoja CVE-2025-24983, Windows Win32 kodola apakšsistēmas privilēģiju eskalācijas trūkumu. Tas ir saistīts arī ar Nokoyawa izpirkuma programmatūras uzbrukumiem, kuros tika izmantota cita CLFS nulles dienas ievainojamība CVE-2023-28252. Turklāt kiberdrošības eksperti ziņoja, ka iepriekšējos uzbrukumos, kas tika attiecināti uz vienu un to pašu apdraudējumu, PipeMagic tika izvietots, izmantojot MSBuild skriptu, pirms tika izmantota CLFS privilēģiju paaugstināšanas ievainojamība.

Ekspluatācija un tās ietekme

Uzbrukums ir tieši vērsts uz CLFS kodola draivera ievainojamību. Izmantojot atmiņas bojājumus un RtlSetAllBits API, uzbrucēji pārraksta izmantošanas procesa marķieri ar 0xFFFFFFFF, piešķirot visas privilēģijas. Tas viņiem ļauj SISTĒMAS procesos ievadīt nedrošus procesus, efektīvi pārņemot kontroli pār inficēto iekārtu. Pēc veiksmīgas izmantošanas apdraudējuma dalībnieki iegūst lietotāja akreditācijas datus, izmetot LSASS atmiņu un šifrējot sistēmas failus ar nejauši ģenerētu paplašinājumu. Pēc tam tiek noņemta izpirkuma piezīme ar TOR domēnu, kas ir saistīts ar RansomEXX izpirkuma programmu saimi.

Drošības pasākumi un aizsardzība

Neskatoties uz uzbrukuma nopietnību, šī īpašā izmantošana neietekmē operētājsistēmu Windows 11, versiju 24H2. Tas ir saistīts ar drošības ierobežojumiem, kas noteikti atsevišķām sistēmas informācijas klasēm pakalpojumā NtQuerySystemInformation, kas ierobežo piekļuvi lietotājiem ar SeDebugPrivilege, kas parasti tiek piešķirta tikai administratīvajiem lietotājiem.

Ransomware dalībnieki turpina piešķirt prioritāti privilēģiju eskalācijai pēc kompromisa, jo tas viņiem ļauj pārveidot sākotnējo piekļuvi plašākā kontrolē tīklā. Izmantojot tādas darbības kā CVE-2025-29824, viņi var paplašināt savu sasniedzamību, iegūt priviliģētu piekļuvi un izvietot izspiedējprogrammatūru ar postošu ietekmi. Organizācijām ir jāsaglabā modrība, nekavējoties jāpiemēro drošības ielāpi, jāuzrauga neparastas sistēmas darbības un jāievieš spēcīga piekļuves kontrole, lai samazinātu riskus, ko rada šādi mainīgi kiberdraudi.